ช่องโหว่ CVE-2025-26633
Water Gamayun ได้ใช้ประโยชน์จาก CVE-2025-26633 (หรือที่เรียกว่า MSC EvilTwin) ซึ่งเป็นช่องโหว่ในกรอบงาน Microsoft Management Console (MMC) เพื่อรันมัลแวร์โดยใช้ไฟล์ Microsoft Console (.msc) ที่เป็นอันตราย
สารบัญ
แบ็คดอร์ใหม่: SilentPrism และ DarkWisp
อาชญากรไซเบอร์ที่อยู่เบื้องหลังการโจมตีแบบ zero-day นี้ได้ใช้แบ็คดอร์อันซับซ้อนสองอัน ได้แก่ SilentPrism และ DarkWisp เครื่องมือเหล่านี้อำนวยความสะดวกในการคงอยู่ การสอดแนมระบบ และการควบคุมจากระยะไกล ทำให้เครื่องมือเหล่านี้เป็นเครื่องมือที่มีประสิทธิภาพสำหรับการสอดแนมและขโมยข้อมูล ปฏิบัติการดังกล่าวถูกระบุว่าเป็นฝีมือของกลุ่มแฮกเกอร์ที่มีความเชื่อมโยงกับรัสเซียที่รู้จักกันในชื่อ Water Gamayun หรือที่เรียกอีกอย่างว่า EncryptHub และ LARVA-208
วิธีการโจมตี: แพ็คเกจการจัดเตรียมและตัวติดตั้ง MSI
Water Gamayun ส่งมอบข้อมูลโดยผ่านแพ็คเกจการจัดเตรียมที่หลอกลวง ไฟล์ .msi ที่ลงนาม และไฟล์ MSC เป็นหลัก โดยใช้เทคนิคต่างๆ เช่น กระบวนการ IntelliJ runnerw.exe สำหรับการดำเนินการคำสั่ง ซึ่งช่วยเพิ่มความลึกลับและประสิทธิภาพ
วิวัฒนาการของการกระจายมัลแวร์ของ EncryptHub
ในช่วงแรก EncryptHub ได้รับความสนใจในเดือนมิถุนายน 2024 เมื่อพวกเขาใช้ที่เก็บข้อมูล GitHub เพื่อแจกจ่ายมัลแวร์หลายกลุ่มผ่านเว็บไซต์ WinRAR ปลอม ตั้งแต่นั้นมา พวกเขาได้เปลี่ยนมาใช้โครงสร้างพื้นฐานของตนเองสำหรับการจัดเตรียมและการดำเนินการคำสั่งและการควบคุม (C&C)
การแอบอ้างเป็นซอฟต์แวร์ที่ถูกกฎหมาย
Water Gamayun ซ่อนมัลแวร์ไว้ในโปรแกรมติดตั้ง .msi โดยแอบอ้างว่าเป็นแอปพลิเคชันจริง เช่น DingTalk, QQTalk และ VooV Meeting โปรแกรมติดตั้งเหล่านี้เรียกใช้โปรแกรมดาวน์โหลด PowerShell ดึงข้อมูลและเรียกใช้เพย์โหลดขั้นถัดไปบนระบบที่ถูกบุกรุก
SilentPrism และ DarkWisp: การฝัง PowerShell ที่ไม่เปิดเผย
SilentPrism คืออิมแพลนต์ที่ใช้ PowerShell ซึ่งสร้างความคงอยู่ ดำเนินการคำสั่งเชลล์หลายคำสั่ง และหลีกเลี่ยงการตรวจจับโดยใช้เทคนิคต่อต้านการวิเคราะห์
DarkWisp แบ็คดอร์ PowerShell อีกตัวที่เชี่ยวชาญในการลาดตระเวนระบบ การขโมยข้อมูล และการรักษาการเข้าถึงระยะยาวไปยังเครื่องที่ติดไวรัส
การสื่อสารและการดำเนินการคำสั่ง C&C
เมื่อติดไวรัสแล้ว มัลแวร์จะขโมยข้อมูลการสอดแนมไปยังเซิร์ฟเวอร์ C&C และเข้าสู่ลูปต่อเนื่องโดยรอคำสั่งผ่านพอร์ต TCP 8080 คำสั่งจะมาถึงในรูปแบบ COMMAND|
MSC EvilTwin Loader: การใช้งาน Rhadamanthys Stealer
เพย์โหลดที่น่ากังวลที่สุดตัวหนึ่งในห่วงโซ่การโจมตีนี้คือตัวโหลด MSC EvilTwin ซึ่งใช้ประโยชน์จาก CVE-2025-26633 เพื่อเรียกใช้ไฟล์ .msc ที่เป็นอันตราย ซึ่งท้ายที่สุดจะนำไปสู่การใช้งาน Rhadamanthys Stealer ซึ่ง เป็นมัลแวร์ที่รู้จักกันดีที่ออกแบบมาเพื่อขโมยข้อมูล
การขยายคลังอาวุธ: Stealers และรุ่นปรับแต่งเพิ่มเติม
Water Gamayun ไม่ได้พึ่งพา Rhadamanthys เพียงอย่างเดียว พวกเขายังแจกจ่าย StealC และโปรแกรมขโมยข้อมูลแบบกำหนดเองที่ใช้ PowerShell สามตัว ได้แก่ EncryptHub Stealer รุ่น A, B และ C โดยโปรแกรมเหล่านี้ซึ่งใช้ Kematian Stealer แบบโอเพนซอร์ส จะดึงข้อมูลระบบจำนวนมาก รวมถึงรายละเอียดแอนตี้มัลแวร์ ซอฟต์แวร์ที่ติดตั้ง การกำหนดค่าเครือข่าย และแอปพลิเคชันที่กำลังทำงาน
การกำหนดเป้าหมายสกุลเงินดิจิทัลและข้อมูลที่ละเอียดอ่อน
มัลแวร์ขโมยข้อมูลประจำตัวได้รวบรวมข้อมูลต่างๆ มากมาย รวมถึงรหัสผ่าน Wi-Fi คีย์ผลิตภัณฑ์ Windows ข้อมูลเบราว์เซอร์ และประวัติคลิปบอร์ด โดยเฉพาะอย่างยิ่ง มัลแวร์จะค้นหาไฟล์ที่เกี่ยวข้องกับกระเป๋าเงินสกุลเงินดิจิทัลโดยเฉพาะ ซึ่งบ่งชี้ถึงความตั้งใจที่จะเก็บเกี่ยววลีการกู้คืนและสินทรัพย์ทางการเงิน
เทคนิคการใช้ชีวิตนอกพื้นที่เพื่อการลอบเร้น
คุณสมบัติพิเศษอย่างหนึ่งของ EncryptHub Stealer รุ่นหนึ่งคือการใช้เทคนิคไบนารีแบบอยู่อาศัยนอกพื้นที่ (LOLBin) เทคนิคนี้ใช้ runnerw.exe ของ IntelliJ เพื่อทำหน้าที่เป็นพร็อกซีสำหรับการดำเนินการสคริปต์ PowerShell จากระยะไกล ทำให้กิจกรรมของโปรแกรมคลุมเครือยิ่งขึ้น
การแพร่กระจายมัลแวร์ผ่านหลายช่องทาง
พบว่าแพ็คเกจ MSI และไบนารีดร็อปเปอร์อันเป็นอันตรายของ Water Gamayun แพร่กระจายมัลแวร์กลุ่มอื่นๆ เพิ่มเติม รวมถึง Lumma Stealer , Amadey และโปรแกรมคลิปเปอร์ที่มุ่งเน้นไปที่สกุลเงินดิจิทัลต่างๆ
โครงสร้างพื้นฐาน C&C: การควบคุมระยะไกลผ่าน PowerShell
การวิเคราะห์โครงสร้างพื้นฐาน C&C ของ Water Gamayun (โดยเฉพาะ 82.115.223[.]182) เผยให้เห็นว่าพวกเขาใช้สคริปต์ PowerShell เพื่อดาวน์โหลดและเรียกใช้ซอฟต์แวร์ AnyDesk สำหรับการเข้าถึงระยะไกล พวกเขายังส่งคำสั่งระยะไกลที่เข้ารหัส Base64 ไปยังเครื่องของเหยื่อเพื่อการควบคุมที่ราบรื่น
การปรับตัวและคงอยู่: ภูมิทัศน์ภัยคุกคามของกามายุนแห่งน้ำ
การใช้เวกเตอร์โจมตีหลายแบบของ Water Gamayun รวมถึงไฟล์ MSI ที่มีลายเซ็น LOLBins และเพย์โหลดแบบกำหนดเอง เน้นย้ำถึงความสามารถในการปรับตัวของระบบเจาะระบบ โครงสร้างพื้นฐาน C&C ที่ซับซ้อนช่วยให้สามารถคงอยู่ได้ในระยะยาวในขณะที่หลบเลี่ยงการสืบสวนทางนิติวิทยาศาสตร์
ช่องโหว่ CVE-2025-26633 วิดีโอ
เคล็ดลับ: เปิดเสียงของคุณและดูวิดีโอในโหมดเต็มหน้าจอ
