Cyberrisiken
Water Gamayun missbraucht Zero Day-Lücke in MMC
Durch den Missbrauch einer Schwachstelle im MMC-Framework, CVE-2025-26633), hat der Bedrohungsakteur Water Gamayun eine effiziente Methode entwickelt, um b?sartigen Code auf infizierten Rechnern auszuführen. Wir haben die fiesen Techniken analysiert.
Save to Folio
Zusammenfassung
- Trend Research hat eine Kampagne des russischen Bedrohungsakteurs Water Gamayun aufgedeckt, die eine Zero-Day-Schwachstelle im Microsoft Management Console Framework ausnutzt, um b?sartigen Code namens MSC EvilTwin (CVE-2025-26633) auszuführen.
- Dabei manipuliert der Bedrohungsakteur .msc-Dateien und den Multilingual User Interface Path (MUIPath), um b?sartige Payloads herunterzuladen und auszuführen, die Persistenz aufrechtzuerhalten und sensible Daten von infizierten Systemen zu stehlen.
Trend Research hat eine Kampagne des mutma?lichen russischen Bedrohungsakteurs Water Gamayun, auch bekannt als und Larva-208, analysiert. Die Angriffe nutzen eine Zero-Day-Schwachstelle im Microsoft Management Console (mmc.exe)-Framework aus, um b?sartigen Code auf infizierten Rechnern auszuführen. Wir haben diese Technik MSC EvilTwin (CVE-2025-26633) benannt, die wir als ZDI-CAN-26371 (auch bekannt als ) verfolgen. Zusammen mit Microsoft hat das Bug Bounty-Programm der diesen Zero-Day-Angriff aufgedeckt und am 11. M?rz dazu ver?ffentlicht.
Diese Kampagne befindet sich in aktiver Entwicklung und verwendet mehrere Verbreitungsmethoden und ma?geschneiederte Payloads, die darauf ausgelegt sind, die Persistenz aufrechtzuerhalten und sensible Daten zu stehlen. Sie werden dann an die Command-and-Control-Server (C&C) der Angreifer übermittelt. Die folgenden Module geh?ren zum Arsenal von Water Gamayun: EncryptHub-Stealer, DarkWisp-Backdoor, SilentPrism-Backdoor, MSC EvilTwin-Loader, Stealc sowie Rhadamanthys Stealer.
Microsoft-Verwaltungskonsole und die Microsoft-Konsolendatei
Die Microsoft Management Console (MMC) umfasst eine grafische Benutzeroberfl?che (GUI) und ein Programmier-Framework zum Erstellen, Speichern und Zugreifen auf Sammlungen von Verwaltungstools - so genannte Konsolen - für die Verwaltung verschiedener Windows-Hardware-, Software- und Netzwerkkomponenten. Diese als Snap-Ins bezeichneten Verwaltungstools sind COM-Objekte, die mit Microsoft-Konsolendateien verknüpft sind. Die Windows-Firewall (wf.msc) ist ein Beispiel für ein solches Tool. Weitere Einzelheiten liefert der Originalbeitrag.
Genutzte Techniken
Bei ihrem Angriff setzen Water Gamayun auf drei Techniken, um über Windows-MSC-Dateien b?sartige Payloads auf einem infizierten System auszuführen:
MSC EvilTwin (CVE-2025-26633)
Bei dieser Technik werden b?sartige .msc-Dateien über eine legitime Datei ausgeführt. Dabei erstellt der Trojaner-Loader zwei .msc-Dateien mit demselben Namen auf dem System: Eine Datei ist sauber und erscheint legitim, ohne verd?chtige Elemente; die andere ist eine b?sartige Version, die an derselben Stelle, aber in einem Verzeichnis namens en-US abgelegt wird. Wenn die saubere .msc-Datei ausgeführt wird, l?dt mmc.exe die b?sartige Datei anstelle der Originaldatei und führt sie aus.
Der Angreifer missbraucht die MUIPath-Funktion (Multilingual User Interface Path) von mmc.exe. Die Standardsprache des Systems – Englisch (Vereinigte Staaten) – verfügt über einen MUIPath, der in der Regel so konfiguriert ist, dass er MUI-Dateien (.mui) enth?lt, die zum Speichern sprachspezifischer Ressourcen für Anwendungen dienen. Durch Missbrauch der Art und Weise, wie mmc.exe MUIPath verwendet, kann der Angreifer MUIPath en-US mit einer sch?dlichen .msc-Datei ausstatten, die dazu führt, dass mmc.exe diese sch?dliche Datei anstelle der Originaldatei l?dt und ohne Wissen des Opfers ausführt. Weitere Einzelheiten liefert der Originalbeitrag.
Shell-Befehl über die MSC-Datei ausführen
Die zweite Technik erm?glicht die Ausführung von Befehlen über die ExecuteShellCommand-Methode der MMC von einem View-Objekt auf dem Computer des Opfers aus. Dies kann durch die Nutzung speziell erstellter .msc-Dateien und eines Shockwave Flash-Objekts innerhalb eines ActiveX-Steuerelements erfolgen, das standardm??ig einen Webbrowser ?ffnet.?
Weitere Einzelheiten liefert der Originalbeitrag.
Vorget?uschte vertrauenswürdige Verzeichnisse
Der dritte Ansatz besteht darin, vorget?uschte Verzeichnisse zu erstellen, die den Standard-Systempfaden ?hneln, indem Leerzeichen oder Sonderzeichen an den Namen angeh?ngt werden. Wenn die Pfadvalidierungslogik einer Anwendung Leerzeichen bei Zeichenfolgenvergleichen nicht richtig behandelt, kann sie das ge?nderte Verzeichnis als gleichwertig mit dem echten Systempfad interpretieren. Dies kann dazu führen, dass Dateien vom alternativen Speicherort statt aus dem vorgesehenen Systemverzeichnis geladen werden. Diese Technik ist relevant, wenn mit Anwendungen gearbeitet wird, die Bibliotheken oder ausführbare Dateien mit erh?hten Zugriffsebenen laden. Der MSC EvilTwin-Loader verwendet diese Methode, um WmiMgmt.msc zu l?schen.
MSC EvilTwin Trojaner-Loader
Der MSC EvilTwin Loader ist ein in PowerShell geschriebener Trojaner-Loader, der alle oben erl?uterten Techniken zum Herunterladen und Ausführen b?sartiger Payloads auf kompromittierten Systemen nutzt. Unsere Analyse deutet darauf hin, dass der Angriff mit einer digital signierten MSI-Datei beginnt, die sich als bekannte chinesische Software wie DingTalk oder QQTalk tarnt. Diese Dateien sind so konzipiert, dass sie den MSC EvilTwin-Loader vom C&C-Server des Angreifers abrufen und auf dem Computer des Opfers ausführen. W?hrend unserer Untersuchung entdeckten wir eine frühe Version dieser Technik, die im April 2024 eingesetzt wurde. Weitere Einzelheiten liefert der Originalbeitrag.
Water Gamayun verwendet diese Techniken nicht nur in diesem Loader, sondern auch in anderen Modulen, um Payloads oder Plugins der n?chsten Stufe vom Server herunterzuladen und auszuführen. ?ber diese Techniken k?nnen Angreifer die Ausführung b?sartiger Payloads durch legitime Windows-Bin?rdateien überbrücken, indem sie nicht b?sartige Dateien ausführen.
Fazit
Unternehmen k?nnen durch diese Art von Bedrohungen erheblich beeintr?chtigt werden, da sie zu Datenverletzungen und erheblichen finanziellen Verlusten führen k?nnen. Microsoft und das Bug Bounty Programm der Trend Zero Day Initiative (ZDI)haben zusammen gearbeitet, um diese Schwachstelle aufzudecken und schnell einen Patch zu ver?ffentlichen, der sie behebt.
Angesichts von Techniken, die Schwachstellen wie MSC EvilTwin ausnutzen, sind ein mehrschichtiger Ansatz und fortschrittliche Cybersicherheitsl?sungen unerl?sslich, um digitale Verm?genswerte in einer Landschaft zu schützen, in der Bedrohungsakteure ihre Taktiken st?ndig verfeinern. Mit Trend Vision One erhalten Anwender beispielsweise eine KI-gestützte Cybersicherheitsplattform, die das Management von Cyberrisiken, den Sicherheitsbetrieb und einen robusten mehrschichtigen Schutz zentralisiert.
Ein weiterer Beitrag zu diesen Angriffen befasst sich mit den verschiedenen Modulen und verwendeten Payloads.