Jedna od šest zero-day ranjivosti koje je Microsoft zakrpio ranije ovog mjeseca aktivno je iskorišćavana od strane poznate ruske ransomware grupe, kažu bezbjednosni istraživači iz kompanije Trend Micro.
Eksploatacija ove zero-day ranjivosti, označene kao CVE-2025-26633 i ispravljene tokom Microsoftovog “Patch Tuesday” ciklusa, pripisuje se grupi identifikovanoj kao EncryptHub (afilijacija RansomHub-a, koju Trend Micro naziva Water Gamayu).
Prema dokumentaciji Trend Micro-a, ova kriminalna grupa specijalizovana za iznudu podataka koristila je ranjivost u okviru Microsoft Management Console (MMC) kako bi izvršila maliciozni kod i eksfiltrirala podatke sa kompromitovanih sistema.
Tehnika se oslanja na manipulaciju rukovanjem Microsoft Console (.msc) fajlova i Multilingual User Interface Path (MUIPath) funkcije u MMC-u. U tipičnom napadu, ransomware grupa kreira dva .msc fajla s identičnim imenima: jedan čisti i drugi maliciozni, koji se postavlja u “en-US” direktorijum.
Kada se mmc.exe pokrene, on putem MUIPath funkcije učitava maliciozni fajl umjesto legitimnog. Ovaj trik omogućava napadačima da izvrše komande bez izazivanja sumnje, upozorava Trend Micro.
Istraživači ove kompanije takođe upozoravaju da grupa koristi tehniku izvršavanja shell komandi putem ExecuteShellCommand metode unutar MMC ActiveX kontrolnog dodatka kako bi preuzela i pokrenula dodatne maliciozne terete.
Još jedna metoda koju koriste uključuje kreiranje lažnih direktorijuma koji imitiraju legitimne sistemske putanje, omogućavajući ubacivanje malicioznih fajlova pod maskom autentičnosti, objašnjava Trend Micro.
“Naša saznanja otkrivaju da se ova kampanja aktivno razvija, koristeći različite metode isporuke i prilagođene maliciozne terete, uključujući module kao što su EncryptHub stealer, DarkWisp backdoor, SilentPrism backdoor i Rhadamanthys stealer,” navodi se u izvještaju.
Ovo nije prvi napad na MMC
Ovo nije prvi put da se zero-day ranjivosti koriste za napad na Microsoft Management Console (MMC) u Windows operativnom sistemu. Još u oktobru prošle godine, Microsoft je javno potvrdio da su napadači koristili Microsoft Saved Console (MSC) fajlove kako bi izvršili daljinski kod na ciljanih Windows sistemima.
Izvor: SecurityWeek
