Исследователи Trend Micro зафиксировали новую волну атак группировки, предположительно связанной с Россией, которая эксплуатирует недавно закрытую уязвимость в Microsoft Windows для установки двух ранее не описанных бэкдоров — SilentPrism и DarkWisp.
Кто стоит за атаками
Активность приписывают группе Water Gamayun, также известной как EncryptHub и LARVA-208. Внимание к ней впервые привлекло использование GitHub-репозитория «encrypthub» ещё в конце июня 2024 года: тогда через него распространялись стилеры, майнеры и программы-вымогатели, а заражение маскировалось под поддельный сайт WinRAR. С тех пор группа перешла на собственную инфраструктуру — как для размещения полезной нагрузки, так и для управления заражёнными машинами (C&C).
Как работает эксплуатация CVE-2025-26633
Ключевой инструмент атакующих — уязвимость CVE-2025-26633, известная также как MSC EvilTwin. Она затрагивает фреймворк Microsoft Management Console (MMC) и позволяет выполнять вредоносный код через специально созданный поддельный файл консоли (.msc). По данным Trend Micro, атакующие используют её вместе с несколькими другими векторами доставки: пакетами provisioning (.ppkg), подписанными установочными файлами Windows Installer (.msi) и уже упомянутыми файлами .msc.
Аналитики Trend Micro Алиакбар Захрави и Ахмед Мохамед Ибрахим в опубликованном на прошлой неделе отчёте отмечают: «Злоумышленник доставляет полезную нагрузку в основном через вредоносные provisioning-пакеты, подписанные .msi-файлы и файлы MSC Windows, используя такие техники, как запуск runnerw.exe из IntelliJ для выполнения команд».
Установочные .msi-файлы маскируются под легитимное программное обеспечение для обмена сообщениями и видеоконференций — DingTalk, QQTalk, VooV Meeting. Их задача — запустить PowerShell-загрузчик, который скачивает и выполняет следующую стадию атаки.
Бэкдоры SilentPrism и DarkWisp
SilentPrism — это PowerShell-имплант, способный закрепляться в системе, одновременно выполнять несколько shell-команд и поддерживать удалённое управление зараженной машиной. Инструмент оснащён техниками противодействия анализу, затрудняющими его обнаружение.
DarkWisp — второй PowerShell-бэкдор, ориентированный на разведку системы, кражу конфиденциальных данных и закрепление в ней. Как поясняют исследователи: «После того как вредоносная программа передаёт на C&C-сервер результаты разведки и данные о системе, она переходит в постоянный цикл ожидания команд. Команды поступают через TCP-соединение на порту 8080 в формате COMMAND|». В отчёте также указано: «Основной цикл взаимодействия обеспечивает непрерывный контакт с сервером, обработку команд, поддержание соединения и безопасную передачу результатов».
Третья полезная нагрузка в цепочке атак — загрузчик MSC EvilTwin, который эксплуатирует CVE-2025-26633 для запуска вредоносного .msc-файла и в итоге разворачивает стилер Rhadamanthys. Загрузчик также умеет подчищать за собой следы в системе, чтобы затруднить криминалистический анализ.
Другие инструменты арсенала
Rhadamanthys — не единственный стилер, используемый Water Gamayun: группа также применяет коммерческий стилер StealC и три собственных PowerShell-варианта — EncryptHub Stealer variant A, variant B и variant C. По словам исследователей, «эти варианты обладают схожим функционалом и возможностями, различаясь лишь незначительными модификациями», а все они представляют собой изменённые версии открытого проекта Kematian Stealer.
Собственный стилер группы способен собирать обширную информацию о системе — данные об антивирусном ПО, установленных программах, сетевых адаптерах и запущенных процессах. Кроме того, он извлекает пароли Wi-Fi, ключи продуктов Windows, историю буфера обмена, учётные данные браузеров и сессионные данные приложений для обмена сообщениями, VPN, FTP и менеджеров паролей. Отдельно стилер ищет файлы по определённым ключевым словам и расширениям — это указывает на целенаправленный поиск сид-фраз от криптовалютных кошельков.
Одна из модификаций EncryptHub Stealer примечательна применением новой LOLBin-техники: легитимный лаунчер процессов IntelliJ runnerw.exe используется как прокси для запуска удалённого PowerShell-скрипта на заражённой машине. Артефакты стилера, распространяемые через вредоносные MSI-пакеты или бинарные дропперы, также используются для доставки других семейств вредоносного ПО — Lumma Stealer, Amadey и клипперов.
Инфраструктура управления
Анализ инфраструктуры C&C группы, в частности адреса 82.115.223[.]182, показал использование PowerShell-скриптов для загрузки и запуска легитимной программы удалённого доступа AnyDesk, а также возможность операторов отправлять на заражённую машину закодированные в Base64 команды.
В Trend Micro подчёркивают: «Использование группой Water Gamayun различных методов доставки и техник в рамках кампании — таких как развёртывание вредоносной нагрузки через подписанные установочные файлы Microsoft и применение LOLBin-техник — демонстрирует их адаптивность в компрометации систем и данных жертв». И добавляют: «Тщательно продуманная полезная нагрузка и инфраструктура C&C позволяют злоумышленнику закрепляться в системе, динамически управлять заражёнными хостами и маскировать свою активность».
Источник: The Hacker News.