CVE-2025-26633 漏洞
Water Gamayun 一直在積極利用 Microsoft 管理主控台 (MMC) 框架中的漏洞 CVE-2025-26633(又稱 MSC EvilTwin),使用惡意 Microsoft 主機 (.msc) 檔案執行惡意軟體。
目錄
新的後門:SilentPrism 和 DarkWisp
這次零時差攻擊背後的網路犯罪分子部署了兩個複雜的後門——SilentPrism 和 DarkWisp。這些工具有助於實現持久性、系統偵察和遠端控制,使其成為間諜和資料竊取的強大資產。這項行動被認為是與俄羅斯有關的駭客組織 Water Gamayun 所為,該組織也稱為 EncryptHub 和 LARVA-208。
攻擊方法:配置套件和 MSI 安裝程序
Water Gamayun 主要透過欺詐性設定包、已簽署的 .msi 檔案和 MSC 檔案來傳遞有效載荷。他們採用 IntelliJ runnerw.exe 進程等技術來執行指令,從而提高隱密性和有效性。
EncryptHub 惡意軟體傳播的演變
最初,EncryptHub 在 2024 年 6 月引起人們的注意,當時他們使用 GitHub 儲存庫透過虛假的 WinRAR 網站分發各種惡意軟體家族。從那時起,他們就轉向使用自己的基礎設施來進行登台和命令與控制 (C&C) 操作。
偽裝成合法軟體
Water Gamayun 將其惡意軟體偽裝在 .msi 安裝程式中,冒充 DingTalk、QQTalk 和 VooV Meeting 等正版應用程式。這些安裝程式執行 PowerShell 下載程序,在受感染的系統上取得並執行下一階段的有效負載。
SilentPrism 與 DarkWisp:隱密的 PowerShell 植入程序
SilentPrism 是一種基於 PowerShell 的植入程序,可建立持久性、執行多個 shell 命令並使用反分析技術來逃避偵測。
DarkWisp 是另一個 PowerShell 後門,專門用於系統偵察、資料外洩以及維持對受感染機器的長期存取。
C&C 通訊和命令執行
一旦被感染,惡意軟體就會將偵察資料外洩到 C&C 伺服器並進入連續循環,等待透過 TCP 連接埠 8080 發送的命令。命令以 COMMAND|
MSC EvilTwin Loader:部署 Rhadamanthys Stealer
此攻擊鏈中最令人擔憂的有效載荷之一是 MSC EvilTwin 載入器,它利用 CVE-2025-26633 執行惡意 .msc 檔案。這最終導致了Rhadamanthys Stealer的部署,這是一種專為資料竊取而設計的著名惡意軟體。
擴大武器庫:更多竊取者和客製化變體
水之伽瑪雍 (Water Gamayun) 並非完全依賴拉達曼迪斯 (Rhadamanthys)。他們還分發StealC和三個基於 PowerShell 的自訂竊取程式——EncryptHub Stealer 變體 A、B 和 C。這些基於開源 Kematian Stealer 的變體可提取大量系統數據,包括反惡意軟體詳細資訊、已安裝的軟體、網路配置和正在運行的應用程式。
針對加密貨幣和敏感數據
該竊取惡意軟體會收集各種憑證,包括 Wi-Fi 密碼、Windows 產品金鑰、瀏覽器資料和剪貼簿歷史記錄。值得注意的是,它明確搜尋與加密貨幣錢包相關的文件,表明其意圖獲取恢復短語和金融資產。
隱身離地生存技巧
EncryptHub Stealer 的一個變體的獨特之處在於它使用了 living-off-the-land 二進位 (LOLBin) 技術。它利用 IntelliJ 的 runnerw.exe 來代理遠端 PowerShell 腳本的執行,進一步混淆其活動。
透過多種管道傳播惡意軟體
已發現 Water Gamayun 的威脅性 MSI 套件和二元投放器正在傳播其他惡意軟體家族,包括Lumma Stealer 、 Amadey和各種以加密貨幣為重點的剪切器。
C&C 基礎架構:透過 PowerShell 進行遠端控制
對 Water Gamayun 的 C&C 基礎設施(特別是 82.115.223[.]182)的分析表明,他們使用 PowerShell 腳本下載並執行 AnyDesk 軟體進行遠端存取。他們還向受害機器發送 Base64 編碼的遠端命令,以實現無縫控制。
適應性與持久性:Water Gamayun 的威脅情勢
Water Gamayun 使用多種攻擊媒介,包括簽署的 MSI 檔案、LOLBins 和自訂有效載荷,凸顯了其在破壞系統中的適應性。其複雜的 C&C 基礎設施使其能夠保持長期持久性,同時逃避法醫調查。
CVE-2025-26633 漏洞視頻
提示:把你的声音并观察在全屏模式下的视频。
