Russiske hackere utnytter CVE-2025-26633 via MSC EvilTwin for å distribuere SilentPrism og DarkWisp. Hackere misbruker WordPress MU-plugins for å skjule ondsinnet kode. Phishing-plattformen 'Lucid' står bak bølge av iOS- og Android-SMS-angrep.
Russiske hackere utnytter CVE-2025-26633 via MSC EvilTwin for å distribuere SilentPrism og DarkWisp
Den russiske hackergruppen kjent som Water Gamayun, også kalt EncryptHub og LARVA-208, utnytter en nylig oppdaget sårbarhet i Microsoft Management Console (MMC), identifisert som CVE-2025-26633 eller "MSC EvilTwin". Gjennom manipulering av ondsinnede Microsoft Console-filer (.msc) kan de kjøre vilkårlig kode på infiserte systemer. Angrepene involverer bruk av skadelige .msi-filer og .msc-filer for å levere bakdørene SilentPrism og DarkWisp, som gir angriperne mulighet til fjernkontroll, datatyveri og vedvarende tilgang til kompromitterte systemer.
Det anbefales sterkt å installere sikkerhetsoppdateringen fra Microsoft som adresserer CVE-2025-26633 umiddelbart. Administratorer bør også gjennomgå systemer for tegn på kompromittering, spesielt relatert til bruk av .msc- og .msi-filer. Videre bør det implementeres robuste sikkerhetstiltak, inkludert oppdaterte antivirusprogrammer og inntrengningsdeteksjonssystemer, for å beskytte mot slike angrep.
Hackere misbruker WordPress MU-plugins for å skjule ondsinnet kode
Hackere utnytter WordPress' 'Must-Use Plugins' (MU-plugins) for å skjule ondsinnet kode som kjøres automatisk på alle sider uten å vises i adminpanelet. MU-plugins er PHP-filer lagret i 'wp-content/mu-plugins/'-katalogen og aktiveres automatisk ved sidelasting. Angriperne bruker denne teknikken til å oppnå vedvarende tilgang og skjule skadelig programvare, inkludert bakdører, spammere og injeksjoner av ondsinnet kode.
WordPress-administratorer bør regelmessig inspisere 'mu-plugins'-katalogen for uautoriserte filer, overvåke filendringer og sikre at alle plugins og temaer er oppdatert. Det anbefales også å implementere sikkerhetstiltak som brannmurer og inntrengningsdeteksjonssystemer for å beskytte mot uautorisert tilgang.
Phishing-plattformen 'Lucid' står bak bølge av iOS- og Android-SMS-angrep
Lucid' er en phishing-as-a-service (PhaaS) plattform operert av den kinesiske cyberkriminelle gruppen 'XinXin' siden midten av 2023. Den har rettet seg mot 169 enheter i 88 land ved å sende sofistikerte meldinger via iMessage (iOS) og RCS (Android). Plattformen selges til andre trusselaktører gjennom et abonnementsbasert modell, som gir tilgang til over 1 000 phishing-domener, automatisk genererte phishing-nettsteder og avanserte spamming-verktøy.
Brukere bør være ekstra forsiktige med meldinger mottatt via iMessage og RCS, spesielt de som inneholder lenker eller ber om personlig informasjon. Det anbefales å bekrefte avsenderens legitimitet før man klikker på lenker eller deler sensitiv informasjon.