CVE-2025-26633 漏洞
Water Gamayun 一直在积极利用 Microsoft 管理控制台 (MMC) 框架中的漏洞 CVE-2025-26633(又名 MSC EvilTwin),使用恶意 Microsoft 控制台 (.msc) 文件执行恶意软件。
目录
新的后门:SilentPrism 和 DarkWisp
此次零日攻击背后的网络犯罪分子部署了两个复杂的后门程序 - SilentPrism 和 DarkWisp。这些工具有助于持久性、系统侦察和远程控制,使其成为间谍活动和数据窃取的有力工具。此次行动被归咎于与俄罗斯有关的黑客组织 Water Gamayun,也称为 EncryptHub 和 LARVA-208。
攻击方法:配置包和 MSI 安装程序
Water Gamayun 主要通过欺诈性配置包、签名的 .msi 文件和 MSC 文件来传递有效载荷。他们使用 IntelliJ runnerw.exe 进程等技术来执行命令,以提高隐蔽性和有效性。
EncryptHub 恶意软件传播的演变
最初,EncryptHub 于 2024 年 6 月引起关注,当时他们使用 GitHub 存储库通过虚假 WinRAR 网站分发各种恶意软件系列。从那时起,他们就转向自己的基础设施进行暂存和命令与控制 (C&C) 操作。
伪装成合法软件
Water Gamayun 将其恶意软件伪装成 .msi 安装程序,伪装成 DingTalk、QQTalk 和 VooV Meeting 等正版应用程序。这些安装程序执行 PowerShell 下载程序,在受感染的系统上获取并运行下一阶段的有效负载。
SilentPrism 和 DarkWisp:隐秘的 PowerShell 植入程序
SilentPrism 是一种基于 PowerShell 的植入程序,可建立持久性、执行多个 shell 命令并使用反分析技术逃避检测。
DarkWisp 是另一个 PowerShell 后门,专门用于系统侦察、数据泄露以及维持对受感染机器的长期访问。
C&C 通信和命令执行
一旦被感染,恶意软件就会将侦察数据泄露到 C&C 服务器并进入连续循环,等待通过 TCP 端口 8080 发送的命令。命令以 COMMAND|
MSC EvilTwin Loader:部署 Rhadamanthys Stealer
此攻击链中最令人担忧的有效载荷之一是 MSC EvilTwin 加载程序,它利用 CVE-2025-26633 来执行恶意 .msc 文件。这最终导致部署Rhadamanthys Stealer ,这是一种专为数据窃取而设计的著名恶意软件。
扩大武器库:更多窃取者和定制变体
Water Gamayun 并不完全依赖 Rhadamanthys。他们还分发StealC和三个基于 PowerShell 的自定义窃取程序——EncryptHub Stealer 变体 A、B 和 C。这些变体基于开源 Kematian Stealer,可提取大量系统数据,包括反恶意软件详细信息、已安装的软件、网络配置和正在运行的应用程序。
针对加密货币和敏感数据
该窃取恶意软件会收集各种凭证,包括 Wi-Fi 密码、Windows 产品密钥、浏览器数据和剪贴板历史记录。值得注意的是,它会明确搜索与加密货币钱包相关的文件,表明其意图是获取恢复短语和金融资产。
隐身离地生存技巧
EncryptHub Stealer 变体的一个独特功能是使用了一种“活生生的二进制” (LOLBin) 技术。它利用 IntelliJ 的 runnerw.exe 来代理远程 PowerShell 脚本的执行,从而进一步混淆其活动。
通过多种渠道传播恶意软件
已发现 Water Gamayun 的威胁性 MSI 包和二进制投放器正在传播其他恶意软件家族,包括Lumma Stealer 、 Amadey和各种以加密货币为重点的剪切器。
C&C 基础设施:通过 PowerShell 进行远程控制
对 Water Gamayun 的 C&C 基础设施(特别是 82.115.223[.]182)的分析表明,他们使用 PowerShell 脚本下载并执行 AnyDesk 软件进行远程访问。他们还向受害机器发送 Base64 编码的远程命令,以实现无缝控制。
适应性与持久性:Water Gamayun 的威胁形势
Water Gamayun 使用多种攻击媒介,包括签名的 MSI 文件、LOLBins 和自定义负载,凸显了其在入侵系统中的适应性。其复杂的 C&C 基础设施使其能够保持长期持久性,同时逃避法医调查。
CVE-2025-26633 漏洞视频
提示:把你的声音并观察在全屏模式下的视频。
