CVE-2025-26633 취약점

Water Gamayun은 Microsoft Management Console(MMC) 프레임워크의 취약점인 CVE-2025-26633(일명 MSC EvilTwin)을 적극적으로 악용해 악성 Microsoft Console(.msc) 파일을 사용하여 맬웨어를 실행해 왔습니다.

새로운 백도어: SilentPrism 및 DarkWisp

이 제로데이 공격의 배후에 있는 사이버 범죄자들은 SilentPrism과 DarkWisp라는 두 가지 정교한 백도어를 배치했습니다. 이러한 도구는 지속성, 시스템 정찰 및 원격 제어를 용이하게 하여 간첩 및 데이터 도난에 강력한 자산이 됩니다. 이 작전은 Water Gamayun이라고 알려진 러시아 관련 해킹 그룹, EncryptHub 및 LARVA-208이라고도 하는 그룹에 기인합니다.

공격 방법: 프로비저닝 패키지 및 MSI 설치 프로그램

Water Gamayun은 주로 사기성 프로비저닝 패키지, 서명된 .msi 파일 및 MSC 파일을 통해 페이로드를 전달합니다. 이들은 명령 실행을 위해 IntelliJ runnerw.exe 프로세스와 같은 기술을 사용하여 은밀성과 효율성을 높입니다.

EncryptHub의 맬웨어 배포의 진화

처음에 EncryptHub는 2024년 6월에 가짜 WinRAR 웹사이트를 통해 다양한 맬웨어 패밀리를 배포하기 위해 GitHub 저장소를 사용하면서 주목을 받았습니다. 그 이후로 그들은 스테이징 및 명령 및 제어(C&C) 작업을 위한 자체 인프라로 전환했습니다.

합법적인 소프트웨어로 위장

Water Gamayun은 DingTalk, QQTalk, VooV Meeting과 같은 정품 애플리케이션으로 가장하여 .msi 설치 프로그램 내에서 맬웨어를 위장합니다. 이러한 설치 프로그램은 PowerShell 다운로더를 실행하여 손상된 시스템에서 다음 단계 페이로드를 가져오고 실행합니다.

SilentPrism과 DarkWisp: 은밀한 PowerShell 임플란트

SilentPrism은 지속성을 확립하고, 여러 셸 명령을 실행하고, 분석 방지 기술을 사용하여 감지를 회피하는 PowerShell 기반 임플란트입니다.

또 다른 PowerShell 백도어인 DarkWisp는 시스템 정찰, 데이터 유출, 감염된 시스템에 대한 장기적 액세스 유지를 전문으로 합니다.

C&C 통신 및 명령 실행

일단 감염되면, 맬웨어는 정찰 데이터를 C&C 서버로 빼내고 TCP 포트 8080을 통해 명령을 기다리며 연속 루프에 돌입합니다. 명령은 COMMAND| 형식으로 도착하여 피해자의 시스템에 대한 지속적인 상호작용과 제어를 보장합니다.

MSC EvilTwin Loader: Rhadamanthys Stealer 배치

이 공격 체인에서 가장 우려되는 페이로드 중 하나는 CVE-2025-26633을 악용하여 악성 .msc 파일을 실행하는 MSC EvilTwin 로더입니다. 이는 궁극적으로 데이터 도용을 위해 설계된 잘 알려진 맬웨어인 Rhadamanthys Stealer 의 배포로 이어집니다.

무기고 확장: 더 많은 스틸러와 맞춤형 변형

Water Gamayun은 Rhadamanthys에만 의존하지 않습니다. 또한 StealC 와 세 가지 사용자 지정 PowerShell 기반 스틸러인 EncryptHub Stealer 변형 A, B 및 C도 배포합니다. 오픈 소스 Kematian Stealer를 기반으로 하는 이러한 변형은 맬웨어 방지 세부 정보, 설치된 소프트웨어, 네트워크 구성 및 실행 중인 애플리케이션을 포함한 광범위한 시스템 데이터를 추출합니다.

암호화폐 및 민감한 데이터 타겟팅

스틸러 맬웨어는 Wi-Fi 비밀번호, Windows 제품 키, 브라우저 데이터, 클립보드 기록을 포함한 광범위한 자격 증명을 수집합니다. 특히, 암호화폐 지갑과 관련된 파일을 명시적으로 검색하여 복구 문구와 금융 자산을 수집하려는 의도를 나타냅니다.

스텔스를 위한 토지에서 생활하는 기술

EncryptHub Stealer 변종 중 하나의 고유한 특징은 living-off-the-land 바이너리(LOLBin) 기술을 사용한다는 것입니다. IntelliJ의 runnerw.exe를 활용하여 원격 PowerShell 스크립트의 실행을 프록시하여 활동을 더욱 난독화합니다.

다중 채널을 통한 맬웨어 전파

Water Gamayun의 위협적인 MSI 패키지와 바이너리 드로퍼는 Lumma Stealer , Amadey 및 다양한 암호화폐 중심 클리퍼를 포함한 추가 맬웨어 패밀리를 배포하는 것으로 밝혀졌습니다.

C&C 인프라: PowerShell을 통한 원격 제어

Water Gamayun의 C&C 인프라(특히 82.115.223[.]182)를 분석한 결과, 원격 액세스를 위해 AnyDesk 소프트웨어를 다운로드하고 실행하기 위해 PowerShell 스크립트를 사용한다는 사실이 밝혀졌습니다. 또한 원활한 제어를 위해 Base64로 인코딩된 원격 명령을 피해자 머신으로 전송합니다.

적응적이고 지속적: Water Gamayun의 위협 환경

Water Gamayun은 서명된 MSI 파일, LOLBins, 사용자 지정 페이로드를 포함한 여러 공격 벡터를 사용하여 시스템 침해에 대한 적응력을 강조합니다. 정교한 C&C 인프라를 통해 법의학적 조사를 피하면서 장기적인 지속성을 유지할 수 있습니다.

CVE-2025-26633 취약점 비디오

팁 : ON 사운드를 켜고 전체 화면 모드에서 비디오를 볼.