Explotación de vulnerabilidad CVE-2025-26633 por grupo ruso Water Gamayun
Un grupo de hackers rusos, identificado como Water Gamayun (también conocido como EncryptHub y LARVA-208), ha explotado una vulnerabilidad recientemente parcheada en Microsoft Windows, denominada CVE-2025-26633 o MSC EvilTwin. Esta falla en el marco de Microsoft Management Console (MMC) permite la ejecución de archivos maliciosos con extensión .msc.
Los atacantes utilizan paquetes de aprovisionamiento maliciosos (.ppkg), archivos de instalación de Windows firmados (.msi) y archivos .msc para distribuir malware, incluyendo dos nuevas puertas traseras llamadas SilentPrism y DarkWisp. SilentPrism es un implante de PowerShell que establece persistencia, ejecuta múltiples comandos y mantiene control remoto, incorporando técnicas para evadir análisis. Por su parte, DarkWisp permite el reconocimiento del sistema, la exfiltración de datos sensibles y también mantiene persistencia en el sistema comprometido.
Además, Water Gamayun ha desplegado otros programas maliciosos como Rhadamanthys Stealer y StealC, junto con variantes personalizadas de un stealer llamado EncryptHub Stealer. Estos programas están diseñados para recopilar información detallada del sistema, incluyendo datos sobre software antivirus, aplicaciones instaladas, adaptadores de red y credenciales almacenadas en navegadores y otras aplicaciones.
Microsoft ha abordado la vulnerabilidad CVE-2025-26633 en su actualización de seguridad de marzo de 2025, que corrige un total de 57 fallas, incluyendo seis vulnerabilidades de día cero que estaban siendo explotadas activamente.
Para protegerse contra los ataques que explotan la vulnerabilidad CVE-2025-26633 y el malware desplegado por el grupo Water Gamayun, se recomienda implementar las siguientes acciones de ciberseguridad:
1. Aplicar Parches de Seguridad Inmediatamente: instalar la actualización de marzo de 2025 de Microsoft y mantener todo el software del sistema actualizado
2. Restringir el Uso de Archivos Maliciosos: bloquear la ejecución de archivos .msc, .ppkg y .msi en estaciones de trabajo y servidores si no son estrictamente necesarios, además de configurar listas blancas de aplicaciones (Application Control) para evitar la ejecución de archivos no autorizados.
3. Mejorar la Detección y Respuesta ante Amenazas mediante productos de SIEM y EDR
4. Proteger Credenciales y Datos Sensibles
5. Concienciación y Capacitación en Seguridad
6. Aislamiento y Contención de Ataques
7. Implementar Copias de Seguridad y Recuperación
En MB Tech contamos con los productos y servicios necesarios para la mitigación de este y otros posibles ataques
Servidores PostgreSQL comprometidos en campaña de minería de criptomonedas
Más de 1,500 servidores PostgreSQL expuestos han sido comprometidos en una campaña activa que busca obtener acceso no autorizado y desplegar mineros de criptomonedas. Esta actividad maliciosa, atribuida al actor de amenazas identificado como JINX-0126, es una variante de un conjunto de intrusiones detectado inicialmente en agosto de 2024, que involucraba el malware conocido como PG_MEM.
Los atacantes han evolucionado sus técnicas de evasión, implementando binarios con un hash único por objetivo y ejecutando la carga útil del minero de forma fileless (sin archivos), probablemente para eludir soluciones de protección que dependen únicamente de la reputación de los hashes de archivos.
Un aspecto distintivo de esta campaña es el abuso del comando SQL COPY ... FROM PROGRAM para ejecutar comandos arbitrarios en el sistema anfitrión. Una vez que logran acceso a servicios PostgreSQL mal configurados, los atacantes realizan un reconocimiento preliminar y despliegan una carga útil codificada en Base64. Esta carga es un script que elimina mineros de criptomonedas competidores y descarga un binario denominado PG_CORE.
Además, se descarga un binario ofuscado escrito en Golang, apodado postmaster, que imita al legítimo servidor de bases de datos PostgreSQL. Este binario establece persistencia en el sistema mediante la creación de una tarea programada (cron job), crea un nuevo rol con privilegios elevados y escribe otro binario llamado cpu_hu en el disco. cpu_hu descarga la versión más reciente del minero XMRig desde GitHub y lo ejecuta de forma fileless utilizando una técnica conocida en Linux como memfd.
Los investigadores han identificado tres billeteras diferentes vinculadas a este actor de amenazas, cada una con aproximadamente 550 trabajadores, lo que sugiere que la campaña podría haber comprometido más de 1,500 máquinas.
Recomendaciones de seguridad:
• Configurar adecuadamente los servidores PostgreSQL: Asegurar que no estén expuestos públicamente y que utilicen credenciales seguras y únicas.
• Actualizar y parchear sistemas.
• Monitorear actividades sospechosas mediante herramientas de EDR
• Restringir comandos peligrosos: Limitar el uso de comandos como COPY ... FROM PROGRAM para prevenir su explotación.
Estas medidas son esenciales para proteger los sistemas contra campañas de cryptojacking y otras amenazas similares.
Para más información sobre acciones de mitigación o concientización sobre ciberseguridad, puede contactarnos
