总结与关键要点

本文旨在深入分析近期一次归因于Water Gamayun高级持续性威胁组织的多阶段攻击。Zscaler威胁狩猎团队结合遥测数据、取证重建和已知威胁情报，重建了从看似无害的网络搜索开始，到利用Windows MMC漏洞进行复杂利用，最终交付隐藏的PowerShell负载和最终恶意软件加载器的完整链条。

关键要点

• 攻击者同时利用被入侵的合法网站和一个仿冒域名，投放伪装成PDF的双扩展名RAR负载，滥用用户信任。
• 初始负载利用MSC EvilTwin漏洞注入代码到mmc.exe，利用TaskPad管理单元命令启动一系列隐藏的PowerShell阶段。
• 通过被入侵网站、分层混淆、密码保护压缩包以及通过小型.NET类进行进程隐藏，将用户检测可能性降至最低，同时使用诱饵文档维持用户对正常交互的感知。
• Zscaler威胁狩猎团队基于与公开报告一致的TTP，以高置信度将此活动归因于Water Gamayun。这些TTP包括其独特的MSC EvilTwin利用方式、特征性混淆模式、基础设施双路径设计、窗口隐藏技巧以及特定的社会工程主题。

技术分析

Water Gamayun是一个与俄罗斯结盟的APT组织，以其针对企业和政府网络的隐秘信息窃取活动而闻名。其目标通常包括窃取敏感数据、凭证收集以及通过后门和自定义RAT实现长期驻留。在过去一年中，Water Gamayun完善了一套融合零日漏洞利用、可信二进制代理执行和分层PowerShell混淆的技术组合，以规避现代安全堆栈。

Zscaler威胁狩猎团队近期检测到一场使用可疑双扩展名RAR文件下载的活动。我们追踪此事件至一个被入侵的BELAY Solutions网页，该页面将受害者重定向至一个新注册的仿冒域名。该域名提供了一个伪装成PDF宣传册的RAR压缩包，从而触发攻击立足点。

第一阶段：搜索与重定向 一次普通的Bing搜索“belay”会导向belaysolutions[.]com。该网站可能被注入了执行静默重定向到belaysolutions[.]link的JavaScript，后者托管着双扩展名压缩包。

• Bing搜索URL：www[.]bing[.]com/search?q=belay&[已截断]
• 伪装RAR URL：belaysolutions[.]link/pdf/hiring_assistant[.]pdf[.]rar

第二阶段：MSC EvilTwin漏洞利用 打开Hiring_assistant.pdf.rar会释放一个.msc文件。运行时，mmc.exe解析MUI路径，加载恶意的管理单元而非合法的，从而触发包含编码PowerShell负载的嵌入式TaskPad命令。 图1. 伪装成PDF的MSC负载

第三阶段：第一阶段PowerShell 通过-EncodedCommand解码后，此脚本下载UnRAR[.]exe和一个受密码保护的RAR文件，提取下一阶段，短暂等待，然后对提取的脚本执行Invoke-Expression。 图2. Taskpad管理单元命令行 - Base64编码的PowerShell

第四阶段：第二阶段PowerShell 这第二个脚本编译C# WinHpXN类以隐藏控制台窗口，显示一个诱饵PDF，并多次下载、提取和执行最终加载器ItunesC.exe以实现持久化。 图3. Base64编码的PowerShell

第五阶段：最终负载执行 ItunesC[.]exe安装后门或窃取程序。在此特定实例中，我们未能确认确切的恶意软件家族，因为其命令与控制基础设施无响应。然而，Water Gamayun的武器库包括EncryptHub、SilentPrism、DarkWisp和Rhadamanthys，因此很可能安装了其中任何一种。 图4. 最终解码的PowerShell

关于Water Gamayun

Water Gamayun在2025年的公开报告中崭露头角，是一个复杂的、很可能源自俄罗斯的威胁行为者，专门从事供应链和零日驱动的入侵活动。其主要动机似乎是：

• 针对具有高商业或地缘政治价值的组织进行战略情报收集。
• 窃取凭证以促进进一步入侵或横向移动。
• 通过诸如SilentPrism和DarkWisp等自定义后门，以及EncryptHub和Rhadamanthys等信息窃取程序实现长期驻留。

其行动通常具有以下特点：

• 利用新颖漏洞，包括用于MSC EvilTwin的CVE-2025-26633。
• 可信二进制代理执行，通过mmc.exe或其他合法的Windows二进制文件运行隐藏脚本。
• 复杂的混淆链，采用嵌套Base64、UTF-16LE编码和运行时字符串清理。
• 高OPSEC标准，使用强压缩包密码、随机化C2路径和诱饵文档。

Zscaler威胁狩猎如何归因此次活动

Zscaler威胁狩猎的归因基于多条汇聚的证据线：

MSC EvilTwin漏洞利用 第一个负载利用了CVE-2025-26633，这是MMC多语言路径解析中的一个弱点。此利用向量在野外很罕见，且一贯与Water Gamayun的恶意软件投放活动相关联。

特征性PowerShell混淆 嵌套的Base64 UTF-16LE及下划线替换混淆，后接Invoke-Expression，是公开记录的Water Gamayun脚本中的标志性特征。我们匹配了先前分析中记录的精确字符串操作模式。

通过Win32 API进行进程隐藏 编译一个名为WinHpXN的最小.NET类来调用ShowWindow并隐藏控制台窗口，这与先前Water Gamayun战术说明直接吻合。Zscaler威胁狩猎在该组织2025年活动的开源报告中找到了相同的代码片段。

基础设施模式 所有负载和工具都托管在单个IP (103[.]246[.]147[.]17)上，具有两个随机化路径前缀(/cAKk9xnTB/ 和 /yyC15x4zbjbTd/)，符合该组织在过去活动中观察到的双路径C2架构。

社会工程主题 “Hiring_assistant.pdf”诱饵和后续的“iTunesC”品牌，与Water Gamayun使用就业和消费主题诱饵的历史相符。

密码复杂度 21个字符的字母数字压缩包密码k5vtzxdeDzicRCT和jkN5yyC15x4zbjbTdUS3y符合Water Gamayun为规避沙箱自动化而应用的OPSEC特征。

通过将这些技术标记与我们的遥测数据关联，Zscaler威胁狩猎以高置信度得出结论：Water Gamayun策划了这场由MSC EvilTwin驱动的活动。

Zscaler威胁狩猎覆盖范围

Zscaler威胁狩猎通过结合全球规模的遥测数据、高级分析和经验丰富的威胁猎手专业知识，站在主动威胁检测的前沿。这一能力的核心是Zscaler的零信任交换平台，该平台代理每个用户到应用程序和数据的连接，提供对实时网络流量、SSL流和云活动的无与伦比的可见性。通过每天分析超过5000亿笔交易，Zscaler威胁狩猎利用这种云规模数据来发现孤立环境中可能被忽视的细微行为和异常。

检测并非始于警报，而是始于假设。Zscaler威胁狩猎分析师在威胁情报、观察到的战术技巧和丰富的异常检测指导下，积极搜寻像Water Gamayun这样的对手的新兴战术、技术和程序。分析师寻找诸如伪装文件扩展名下载、与未分类或新注册域名的网络连接、以及使用可信二进制文件进行代理执行等线索。

Zscaler威胁狩猎与Zscaler ThreatLabz紧密合作，将威胁狩猎发现转化为可扩展的防护措施。当狩猎团队发现新的威胁活动时，ThreatLabz会提供持续分析，以在适当时将该情报转化为平台范围内的持久安全控制。本文讨论的指标现已成为平台检测逻辑的一部分，以保护客户。

检测建议

初始访问与文件投放

• 监控从用户Temp目录快速提取压缩包后立即生成进程的情况，尤其是当父进程是mmc.exe或其他管理工具时。
• 实施SSL检查策略，根据品牌信誉数据库标记仿冒域名，并在文件下载发生前识别来自合法网站的可疑重定向。
• 将双扩展名文件标记为高风险，并在投放时触发沙箱引爆。

编码PowerShell与脚本

• 检测-EncodedCommand标志使用情况与合法工作流中不常见的UTF-16LE Base64编码模式的结合。
• 对在解码前使用.Replace('_','')的特征性下划线混淆模式发出警报，这是Water Gamayun的经典特征。
• 监控紧接在Base64解码操作之后执行的Invoke-Expression。

网络与基础设施指标

• 监控来自基于Temp目录的进程到外部IP的连接，特别是当下载可执行工具和受密码保护的压缩包时。
• 识别到具有随机化路径前缀的单一IP的网络信标。
• 阻止或标记到IP 103[.]246[.]147[.]17及类似Water Gamayun基础设施的出站连接。

利用后指标

• 对从Temp目录连续多次启动ItunesC.exe或类似iTunes品牌可执行文件发出警报。
• 监控从不常见进程到已知Water Gamayun C2基础设施的回调或类似模式。

危害指标

文件与哈希

• Hiring_assistant.pdf.rar — MD5: ba25573c5629cbc81c717e2810ea5afc
• UnRAR.exe — MD5: f3d83363ea68c707021bde0870121177
• as_it_1_fsdfcx.rar — MD5: 97e4a6cbe8bda4c08c868f7bcf801373
• as_it_1_fsdfcx.txt — MD5: caaaef4cf9cf8e9312da1a2a090f8a2c
• doc.pdf — MD5: f645558e8e7d5e4f728020af6985dd3f
• ItunesC.rar — MD5: e4b6c675f33796b6cf4d930d7ad31f95

压缩包密码

• k5vtzxdeDzicRCT
• jkN5yyC15x4zbjbTdUS3y

网络与路径

• IP: 103.246.147.17
• 路径: /cAKk9xnTB/UnRAR.exe, /cAKk9xnTB/as_it_1_fsdfcx.rar, /cAKk9xnTB/doc.pdf, /yyC15x4zbjbTd/ItunesC.rar

域名

• belaysolutions[.]com (合法，可能已被入侵)
• belaysolutions[.]link (恶意)

结论

此次活动突显了Water Gamayun不断发展的复杂性，它融合了品牌信任、零日漏洞利用和高级混淆技术以绕过传统防御。Zscaler威胁狩猎的取证重建和威胁情报将罕见的MSC EvilTwin利用、特征性PowerShell混淆、窗口隐藏代码和双路径基础设施关联起来，从而明确地将此次攻击归因于该组织。