کارشناسان امنیت سایبری نسبت به فعالیتهای مخرب گروه هکری روسی معروف به EncryptHub (که با نامهای LARVA-208 و Water Gamayun نیز شناخته میشود) هشدار دادهاند. این گروه با بهرهگیری از یک آسیبپذیری اصلاحشده در سیستمعامل ویندوز، بدافزاری خطرناک را منتشر کرده است.
بر اساس گزارش منتشرشده توسط تیم Trustwave SpiderLabs، گروه EncryptHub با استفاده از تکنیکهای مهندسی اجتماعی و سوءاستفاده از آسیبپذیری CVE-2025-26633، که به نام MSC EvilTwin شناخته میشود، در چارچوب Microsoft Management Console (MMC) به سیستمهای کاربران نفوذ میکند. این گروه از طریق فایلهای MSC مخرب، قربانیان را فریب میدهد.
ناتانیل مورالس و نیکیتا کازیمیرسکی، پژوهشگران تراستویو، در این باره اظهار داشتند:
«این حملات بخشی از یک کمپین گسترده و مداوم است که با ترکیب فریب کاربران و بهرهبرداری از ضعفهای فنی، موانع امنیتی را دور زده و کنترل سیستمهای داخلی را در اختیار میگیرد.»
جزئیات عملیات هکری
مهاجمان با جعل هویت تیم فناوری اطلاعات، از طریق پلتفرم Microsoft Teams با کاربران تماس میگیرند و آنها را فریب میدهند تا فایلهای مخرب را اجرا کنند. این فایلها شامل دو نسخه MSC هستند: یکی قانونی و دیگری آلوده. با اجرای فایل مخرب و بهرهبرداری از آسیبپذیری MSC EvilTwin، یک اسکریپت PowerShell از یک سرور خارجی بارگیری میشود. این اسکریپت اطلاعات حساس سیستم را جمعآوری کرده و با سرور فرماندهی و کنترل (C2) ارتباط برقرار میکند تا بدافزار Fickle Stealer را نصب کند.
ابزارهای مورد استفاده در حمله
-
SilentCrystal: یک لودر مبتنی بر زبان برنامهنویسی Go که از پلتفرم قانونی Brave Support برای میزبانی فایلهای مخرب سوءاستفاده میکند.
-
بکدور Golang: این ابزار از پروتکل SOCKS5 برای ایجاد ارتباط مخفیانه با سرورهای مهاجمان استفاده میکند.
-
صفحات فیشینگ: مهاجمان از صفحاتی مانند RivaTalk برای فریب کاربران و ترغیب آنها به دانلود نصبکنندههای آلوده بهره میبرند.
توصیههای امنیتی
کارشناسان تراستویو تأکید دارند که گروه EncryptHub یک تهدید پیچیده و چندوجهی است که از روشهای متنوعی برای نفوذ به سیستمها استفاده میکند. به سازمانها و کاربران توصیه میشود که با آموزش مداوم کارکنان، بهروزرسانی سیستمها و استفاده از راهکارهای امنیتی چندلایه، از خود در برابر این تهدیدات محافظت کنند.
تحریریه ژاکت
مشاهده تیم تحریریه
