深入解析Water Gamayun的攻击武器库与基础设施
Water Gamayun(又称EncryptHub和Larva-208)是一个疑似俄罗斯的威胁行为者,利用MSC EvilTwin零日漏洞(CVE-2025-26633,已于3月11日修补)进行攻击。在本系列的第一部分中,Trend Research深入讨论了发现Water Gamayun利用此漏洞的活动。本文中,我们将涵盖Water Gamayun用于入侵受害系统并窃取敏感数据的各种投递方法、自定义载荷和技术。
威胁行为者主要通过配置包(.ppkg)、签名的Microsoft安装程序文件(.msi)和Windows MSC文件投递恶意载荷。我们还发现了一种新的无文件攻击(LOLBin)技术,攻击者利用IntelliJ进程启动器runnerw.exe文件在受感染系统上代理执行PowerShell命令。
归因于Water Gamayun的此活动似乎处于积极开发中。这些载荷旨在维持持久性、窃取敏感数据并将其外泄到攻击者的命令与控制(C&C)服务器。在本研究中,我们详细分析了此武器库中的每个恶意载荷。值得注意的是,我们获取了C&C服务器的组件和模块,从而能够全面分析其架构、功能和规避技术。
以下是已识别的与Water Gamayun相关的武器库。本文涵盖了这些模块的所有细节。
- EncryptHub窃取器
- DarkWisp后门
- SilentPrism后门
- MSC EvilTwin加载器
- Stealc
- Rhadamanthys窃取器
EncryptHub的起源
2024年7月26日,安全研究员Germán Fernández发推文称一个假冒的WinRAR网站分发各种类型的恶意软件,包括窃取器、挖矿程序、隐藏虚拟网络计算(hVNC)和勒索软件(图1)。这些恶意工具托管在一个名为“encrypthub”的GitHub仓库中,由用户“sap3r-encrypthub”管理(图2)。
随后,在2024年8月5日,研究人员发布了一份分析报告,详细说明了此攻击向量,揭示了与此活动相关的恶意行为。GitHub仓库后来被关闭,其内容迁移至encrypthub.(net/org)域名。攻击者将操作转移至此域名,利用它托管恶意软件并管理其C&C服务器基础设施。
在研究期间,encrypthub.(net/org)域名已不再运行。在调查中,我们识别了一个新的活跃域名,托管在82[.]115[.]223[.]182。通常,服务器活跃几天后会关闭,然后部署新服务器替代。我们在本文末尾的入侵指标(IOC)部分列出了这些C&C服务器。
MSI恶意软件分发向量
| 名称 | MD5 | SHA-1 | SHA-256 | 大小 | 文件类型 |
|---|---|---|---|---|---|
| DingTalk_v7.6.38.122510801.msi | abaa46bc704842d6cc6f494c21546ae6 | 87c46845f57dc9ca8136b730c08b5b5916ca0ad3 | cbb84155467087c4da2ec411463e4af379582bb742ce7009156756482868859c | 4.01 MB (4205056 bytes) | MSI |
| QQTalk.msi | 87792cf4bd370f483a293a23c4247c50 | a225bee48074feac53c7cb2f3929a41f7b4a71d3 | 725df91a9db2e077203d78b8bef95b8cf093e7d0ee2e7a4f55a30fe200c3bf8f | 4.06 MB (4259328 bytes) | MSI |
| VooV Meeting.msi | e59a025f9310d266190b91f5330fde8d | ffb72adff6e099a9deb418c5d40abd8cf9b12c42 | db3fe436f4eeb9c20dc206af3dfdff8454460ad80ef4bab03291528e3e0754ad | 4.09 MB (4291584 bytes) | MSI |
MSI(Microsoft安装程序)文件设计用于执行PowerShell下载器,该下载器下载并在受感染系统上运行下一阶段载荷。
威胁行为者利用MSI包格式中的自定义操作功能运行PowerShell脚本。CustomAction表包含第三方库,如aicustact.dll和PowerShellScriptLauncher.dll,表明MSI可能是使用“Advanced Installer”应用程序创建的。恶意脚本嵌入在CustomActionData字段中的AI_DATA_SETTER自定义操作内(图3)。
AI_DATA_SETTER是类型51的自定义操作,用于在安装过程中动态设置属性值。嵌入的脚本由PowerShellScriptInline自定义操作执行,该操作从PowerShellScriptLauncher.dll库导出。此操作从CustomActionData字段检索PowerShell代码并在运行时执行(图4)。
SilentPrism后门
| 名称 | MD5 | SHA-1 | SHA-256 | 大小 | 文件类型 |
|---|---|---|---|---|---|
| worker.ps1 | f0df469c3459a6a3b98b7b69b07bf61b | b38a0478aefa9d9d77282dd82ada51d7a47fe6f5 | 983506186590f7118cb507d29f12f163afb536a03e6d0f4fb441df8afe49ede1 | 13241 bytes | PowerShell |
SilentPrism是一种后门恶意软件,旨在实现持久性、动态执行shell命令并维持对受感染系统的未授权远程控制(图5)。它根据用户权限以不同方式实现持久性机制:对于非管理用户,它利用Windows注册表创建自动运行条目,使用mshta.exe结合VBScript下载并执行远程载荷;对于管理用户,它部署具有类似执行方法的计划任务。SilentPrism从C&C服务器检索额外载荷和指令,确保模块化功能。
恶意软件使用加密通道与C&C服务器通信,采用AES加密和Base64编码混淆数据。接收的命令以各种方式解密和执行,包括直接PowerShell脚本执行、动态脚本块创建或基于作业的执行。每个任务使用唯一标识符跟踪,允许恶意软件监控执行状态并将结果返回服务器。
SilentPrism包含反分析技术,如虚拟机检测和随机化睡眠间隔(300至700毫秒) between operations,使其行为更不可预测。此外,它持续轮询C&C服务器以获取命令,使操作员能够动态控制受感染系统。
在图6中,我们展示了受感染系统在注册和数据外泄过程中生成的网络流量。图7显示了恶意软件发送的解密数据。
脚本进入具有随机化睡眠间隔(300-700毫秒)的轮询循环,其中它将系统的通用唯一标识符(UUID)传输到预定义端点。收到非等待响应后,脚本反序列化包含命令指令的JSON载荷,实现作业管理逻辑以跟踪执行状态,并利用PowerShell的脚本块创建机制与Invoke-Expression(iex)执行从C&C服务器接收的任意命令。
脚本利用PowerShell的Start-Job功能异步运行命令,允许恶意软件同时执行多个命令而不阻塞主通信循环。完成的作业输出被加密并传输回服务器。图8中的代码片段显示了SilentPrism后门信标和命令执行逻辑。
MSC EvilTwin加载器
| 名称 | MD5 | SHA-1 | SHA-256 | 大小 | 文件类型 |
|---|---|---|---|---|---|
| miner.ps1 | 239e8a3ee1fafe452d0b59eadb32247b | 1377a69ae519d1cf000fa51869454e31ba92056d | 0ac748baaad6017e331a8d99aae9e5449a96ba76fb7374f5d8c678ae52b7db9f | 276 KB (282803 bytes) | PowerShell |
| runner.ps1 | 99a80820ae6dc60c9e9307e6ed8ef211 | 2e4ae2af76c6239eb4191853221b4a40139cc122 | f381a3877028f29ec7865b505b5c85ce77d4947d387d3f30071159fa991f009a | 276 KB (282808 bytes) | PowerShell |
MSC EvilTwin加载器(图9)代表了一种通过利用特制Microsoft保存控制台(.msc)文件部署恶意软件的新方法(CVE-2025-26633)。MSC EvilTwin加载器创建两个目录:C:\Windows \System32
decodedBytesOriginal变量包含一个诱饵XML配置.msc文件,而decodedBytesFakes变量包含一个特制的.msc文件,带有占位符{htmlLoaderUrl}。此占位符后来被替换为URL https://82[.]115[.]223[.]182/encrypthub/ram/,其中包含PowerShell命令。
加载器将诱饵.msc文件写入C:\Windows \System32\WmiMgmt.msc,将恶意.msc文件写入C:\Windows \System32\en-US\WmiMgmt.msc。恶意文件中的{htmlLoaderUrl}占位符被动态替换为指定URL(图10)。
加载器然后使用Start-Process执行恶意.msc文件。此执行从指定URL下载并运行PowerShell脚本以投递下一阶段载荷。之后,加载器使用Start-Sleep命令引入30秒延迟,可能以确保成功执行并避免检测。
最后,加载器通过删除创建的目录和文件(C:\Windows \System32, C:\Windows \System32\en-US和C:\Windows)执行清理操作,以最小化取证痕迹。
在runner.ps1(表3)中,恶意软件下载并将Rhadamanthys窃取器部署到受感染系统。文件ram.exe(SHA256: bad43a1c8ba1dacf3daf82bc30a0673f9bc2675ea6cdedd34624ffc933b959f4)充当Rhadamanthys加载器,负责在受感染机器上安装和激活Rhadamanthys窃取器。
DarkWisp后门分析
| 名称 | MD5 | SHA-1 | SHA-256 | 大小 | 文件类型 |
|---|---|---|---|---|---|
| Encrypt.ps1 | 42b55615cbaa014f246097bd904d7ff2 | f16e0dac597de903a4c6842184770ba5618275a0 | d150d8d8bfa651c0e08a10323ecb0bccf346a35bd1bad19f89a5338acd8a88b3 | 24.90 KB (25495 bytes) | PowerShell |
为了在受感染系统上实现持久性,Water Gamayun在其活动中使用了两个不同的后门。在早期使用encrypthub[.]net/org的活动中,他们利用了SilentPrism后门,这是一种设计用于隐秘访问和控制