هاكرز روس يستغلون ثغرة CVE-2025-26633 عبر MSC EvilTwin لنشر برمجيات SilentPrism وDarkWisp

هاكرز روس يستغلون ثغرة CVE-2025-26633 عبر MSC EvilTwin لنشر برمجيات SilentPrism وDarkWisp
هاكرز روس يستغلون ثغرة CVE-2025-26633 عبر MSC EvilTwin لنشر برمجيات SilentPrism وDarkWisp
شارك هذا الخبر

كشف باحثون في مجال الأمن السيبراني عن حملة اختراق جديدة تُنسب إلى مجموعة تهديد روسية يُشتبه في أنها تُعرف باسم Water Gamayun (وتُعرف أيضاً باسم EncryptHub وLARVA-208) قامت باستغلال ثغرة يوم الصفر CVE-2025-26633 في نظام تشغيل Microsoft Windows لنشر برمجيتين خلفيتين جديدتين تُدعيان SilentPrism وDarkWisp.

استغلال MSC EvilTwin: هجوم متطور على نظام ويندوز

تُعرف الثغرة CVE-2025-26633 بـ”MSC EvilTwin“، وتؤثر على إطار عمل Microsoft Management Console (MMC). ويستغل القراصنة هذه الثغرة من خلال ملفات MSC خبيثة لتشغيل تعليمات برمجية ضارة وتنفيذ هجمات متقدمة على أنظمة الضحايا.

أبرز طرق توزيع البرمجيات الخبيثة:

  • حزم التهيئة الضارة (.ppkg)

  • ملفات التثبيت بتوقيع رسمي (.msi)

  • ملفات .msc المعدلة

SilentPrism وDarkWisp: برمجيات خلفية قوية

بحسب تقرير نشره باحثو Trend Micro، فإن البرمجية الخلفية SilentPrism عبارة عن PowerShell implant تتيح للمهاجمين تنفيذ أوامر عن بُعد، الحفاظ على التواجد في النظام، وتفادي التحليل الأمني.

أما DarkWisp فهي أداة تجسس أخرى بقدرات:

  • جمع معلومات النظام.

  • سرقة البيانات الحساسة.

  • البقاء في النظام لفترات طويلة.

  • تلقي الأوامر عبر اتصال TCP باستخدام المنفذ 8080 بشكل مشفر.

تحميل خفي عبر ملفات MSI موقعة

يتم تمويه برمجيات التثبيت الخبيثة على أنها برامج شهيرة مثل:

  • DingTalk

  • QQTalk

  • VooV Meeting

تقوم هذه الملفات بتشغيل أدوات PowerShell لتنزيل الحمولات التالية من الإنترنت وتشغيلها دون علم المستخدم.

Rhadamanthys وStealC: أدوات إضافية لسرقة البيانات

من بين البرمجيات الأخرى التي تم اكتشافها:

  • Rhadamanthys Stealer: تُستخدم في سرقة كلمات المرور وبيانات المحافظ الرقمية.

  • StealC: برنامج خبيث معروف لسرقة المعلومات.

  • EncryptHub Stealer: بثلاثة إصدارات A وB وC، وهي نسخ معدلة من أداة مفتوحة المصدر تُدعى Kematian Stealer، وتستهدف:

    • مفاتيح منتجات ويندوز.

    • كلمات مرور الواي فاي.

    • بيانات الحافظة.

    • بيانات تسجيل الدخول من المتصفحات وتطبيقات المراسلة وVPN وFTP.

تقنية LOLBin جديدة: استخدام runnerw.exe

تستخدم إحدى نسخ EncryptHub تقنية “Living-off-the-Land Binary (LOLBin)” عبر أداة IntelliJ المعروفة بـ runnerw.exe لتشغيل سكريبتات PowerShell عن بُعد بطريقة مخفية.

البنية التحتية لـ C2: تحكم متطور وإخفاء النشاط

باستخدام عنوان خادم 82.115.223[.]182، يقوم المهاجمون بتحميل أدوات تحكم عن بُعد مثل AnyDesk وتنفيذ أوامر مشفرة بصيغة Base64.

ملاحظات الباحثين:

“تعكس هذه الحملة مستوى عالٍ من التطور والمرونة، من خلال استغلال أدوات أصلية من النظام، وتوقيع البرمجيات الضارة، وبنية اتصالات تتيح سيطرة دائمة دون إثارة الشبهات.”

الحماية المقترحة:

  • تحديث الأنظمة الأمنية فوراً وسد الثغرات المعروفة مثل CVE-2025-26633.

  • مراقبة الأنشطة المشبوهة خاصة PowerShell وملفات .msc.

  • تقييد استخدام أدوات التثبيت الخارجية والتحقق من سلامة مصادر البرامج.

  • تفعيل حلول EDR وWAF لفحص السلوك المشبوه والاتصالات الخارجية.

وسوم
محمد وهبى
محمد وهبى
المقالات: 108

اترك ردّاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *


The reCAPTCHA verification period has expired. Please reload the page.

إقرأ أيضًا

الرئيسية إرسل إيميل أتصل بنا أعلى الصفحة