Хакерската група EncryptHub продължава да използва вече коригирана уязвимост в Microsoft Windows, за да доставя зловредни товари. Според анализ на Trustwave SpiderLabs, групата комбинира социално инженерство с експлоатация на уязвимост в рамката Microsoft Management Console (MMC) – CVE-2025-26633, известна още като MSC EvilTwin. Чрез зловредни MSC файлове атакуващите успяват да заобикалят защитите и да получат контрол над вътрешни системи.
Кои са EncryptHub?
EncryptHub, позната още като LARVA-208 и Water Gamayun, е руска хакерска група, активна от средата на 2024 г. Организацията е финансово мотивирана и прилага разнообразни методи – от фалшиви обяви за работа и „портфолио“ измами до компрометиране на Steam игри. Всички тези подходи целят заразяване на жертвите със stealer зловреден софтуер.
През март 2025 г. Trend Micro документира, че същата уязвимост се използва за доставката на два бекдор инструмента – SilentPrism и DarkWisp.
Нова кампания с Microsoft Teams и двойни MSC файлове
В последните атаки EncryptHub се представят за служители от IT отдела и изпращат Microsoft Teams заявки за отдалечена връзка. След това се използват PowerShell команди за внедряване на вторични товари.
Схемата включва два MSC файла с идентично име – единият легитимен, другият зловреден. Когато жертвата стартира на пръв поглед безопасния файл, системата реално изпълнява зловредния, задействайки уязвимостта CVE-2025-26633.
Зловредният MSC файл изтегля PowerShell скрипт от външен сървър, който:
-
събира системна информация,
-
осигурява устойчивост в системата,
-
установява връзка с C2 сървър за получаване и изпълнение на зловредни товари, включително Fickle Stealer.
Използване на легитимни платформи
Атакуващите разчитат и на Go-базиран SilentCrystal loader, който злоупотребява с Brave Support – официална поддръжка на браузъра Brave. Там се хоства ZIP архив с двата MSC файла. Интересното е, че тази платформа позволява качване на файлове само на стари акаунти, което показва, че EncryptHub е получила неоторизиран достъп до валиден акаунт.
Допълнителни инструменти включват Go-бекдор, който работи в клиентски и сървърен режим, събира системни данни и настройва C2 инфраструктура чрез SOCKS5 прокси тунелиране.
Фалшиви видеоконференции и DLL sideloading
Групата продължава да използва и измамни видеоконферентни платформи, като RivaTalk, за да подмами жертвите да изтеглят MSI инсталатори. Тези пакети съдържат легитимен ELAM инсталатор от Symantec, който се използва за sideload на зловредна DLL библиотека. DLL файлът задейства PowerShell команди, изтегля нов скрипт и предоставя пълен достъп на атакуващите до системата.
За да прикрият дейността си, атакуващите симулират „System Configuration“ изскачащо съобщение, докато във фонов режим се генерира фалшив уеб трафик към популярни сайтове. Така истинските C2 комуникации се сливат с нормалната активност в мрежата.
EncryptHub демонстрира, че разполага с ресурси и адаптивност. Групата съчетава социално инженерство, експлоатация на уязвимости и злоупотреба с доверени платформи, за да запази достъп и контрол върху жертвите. Специалистите от Trustwave подчертават нуждата от многостепенна защита, актуална информация за заплахите и обучение на потребителите, за да бъдат подобни атаки ефективно ограничени.
