深入解析Water Gamayun的攻击武器库与基础设施

本文详细分析了疑似俄罗斯威胁组织Water Gamayun利用Microsoft管理控制台零日漏洞(CVE-2025-26633)的攻击技术,包括恶意载荷投递方式、自定义后门程序、数据窃取技术以及C&C服务器架构。

深入解析Water Gamayun的攻击武器库与基础设施

摘要

Water Gamayun利用MSC EvilTwin零日漏洞(CVE-2025-26633)入侵系统并窃取数据,使用自定义载荷和数据外泄技术。此类攻击可能导致企业数据盗窃和业务运营中断,造成严重影响。

该威胁组织主要通过恶意配置包、签名的.msi文件和Windows MSC文件部署载荷,并利用IntelliJ的runnerw.exe等技术执行命令。

同时使用EncryptHub窃密程序变种以及SilentPrism和DarkWisp等后门程序维持持久性并窃取数据。这些恶意软件通过与C&C服务器通信执行命令和数据外泄,利用加密通道和反分析技术。

组织可通过及时补丁管理和高级威胁检测技术防范此类威胁。趋势科技客户可通过Trend Vision One™规则和过滤器获得针对CVE-2025-26633利用尝试的保护。

技术分析

攻击背景

Water Gamayun(又称EncryptHub和Larva-208)是疑似俄罗斯的威胁组织,一直在利用2025年3月11日修补的MSC EvilTwin零日漏洞(CVE-2025-26633)。

载荷投递方式

威胁组织主要通过以下方式投递恶意载荷:

  • 配置包(.ppkg文件)
  • 签名的Microsoft安装程序文件(.msi)
  • Windows MSC文件

还发现了一种新的无文件攻击技术(LOLBin),攻击者利用IntelliJ进程启动器runnerw.exe代理执行PowerShell命令。

恶意载荷分析

SilentPrism后门

SilentPrism是一个PowerShell后门恶意软件,设计用于实现持久性、动态执行shell命令并维持对受损系统的未授权远程控制。

技术特征:

  • 根据用户权限采用不同的持久化机制
  • 非管理员用户:使用Windows注册表创建自动运行条目
  • 管理员用户:部署计划任务
  • 使用AES加密和Base64编码混淆通信数据
  • 包含反分析技术(虚拟机检测和随机睡眠间隔)

MSC EvilTwin加载器

MSC EvilTwin加载器利用特制的Microsoft保存控制台(.msc)文件进行恶意软件部署。

执行流程:

  1. 创建两个目录:C:\Windows \System32<space>\C:\Windows<space>\System32\en-US
  2. 包含两个Base64编码的有效载荷
  3. 写入诱饵.msc文件和恶意.msc文件
  4. 执行恶意.msc文件以下载并运行下一阶段载荷
  5. 清理创建的目录和文件

DarkWisp后门

DarkWisp是PowerShell后门和侦察工具,用于未授权系统访问和情报收集。

技术特点:

  • 收集详细的系统信息配置文件
  • 实现双通道C&C通信策略
    • 主通道:TCP端口8080
    • 辅助通道:HTTPS端口8081
  • 使用唯一构建标识符进行服务器通信
  • 通过Base64编码命令进行远程控制

EncryptHub窃密程序

发现了五个信息窃取程序,包括三个自定义PowerShell载荷和两个已知恶意软件二进制文件:Stealc和Rhadamanthys Stealer。

变种分析:

  • 变种A:stealer_module.ps1和encrypthub_steal.ps1
  • 变种B:fickle_payload.ps1
  • 变种C:payload.ps1(最新版本)

所有变种都是开源Kematian-Stealer的修改版本,具有类似的功能和能力。

C&C基础设施分析

威胁组织使用82[.]115[.]223[.]182域托管恶意载荷和C&C基础设施。服务器端实现包括:

handle.py脚本功能:

  • 多线程TCP服务器管理客户端连接
  • Flask Web服务器处理HTTP请求
  • 周期性ping功能
  • 通过Telegram发送通知
  • 发送Base64编码的远程命令
  • 管理受感染客户端列表

防护建议

趋势科技防护措施

趋势科技为客户提供以下防护:

  • Trend Vision One™ - 网络安全
  • TippingPoint入侵防御过滤器
  • 趋势Vision One威胁情报
  • 狩猎查询功能

通用防护建议

  1. 及时补丁管理:确保系统及时应用安全补丁
  2. 高级威胁检测:部署能够检测此类复杂攻击的安全解决方案
  3. 网络监控:监控异常网络活动,特别是对可疑端口的连接
  4. 安全意识培训:提高员工对社交工程和恶意附件识别的能力

结论

Water Gamayun使用各种投递方法和技术,展示了其在危害受害者系统和数据方面的适应性。通过分析其工具库和C&C基础设施,我们能够全面了解其架构、功能和规避技术。

组织必须了解此类不断演变的威胁,并采取高级威胁检测和强大的网络安全措施。通过保持最新的威胁情报和采用主动防御策略,组织可以更好地保护自己免受此类威胁。

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次