CVE-2025-26633 脆弱性
Water Gamayun は、Microsoft 管理コンソール (MMC) フレームワークの脆弱性である CVE-2025-26633 (別名 MSC EvilTwin) を積極的に悪用し、不正な Microsoft コンソール (.msc) ファイルを使用してマルウェアを実行しています。
目次
新しいバックドア: SilentPrism と DarkWisp
このゼロデイ攻撃の背後にいるサイバー犯罪者は、2 つの高度なバックドア、SilentPrism と DarkWisp を展開しました。これらのツールは、永続性、システム偵察、リモート コントロールを容易にし、スパイ活動やデータ盗難の強力な手段となります。この攻撃は、ロシアとつながりのある Water Gamayun として知られるハッキング グループ (別名 EncryptHub、LARVA-208) によるものとされています。
攻撃方法: プロビジョニング パッケージと MSI インストーラー
Water Gamayun は主に、不正なプロビジョニング パッケージ、署名された .msi ファイル、および MSC ファイルを通じてペイロードを配信します。コマンド実行には IntelliJ runnerw.exe プロセスなどの手法を採用し、ステルス性と有効性を高めています。
EncryptHub のマルウェア配布の進化
EncryptHub は当初、2024 年 6 月に GitHub リポジトリを使用して偽の WinRAR Web サイト経由でさまざまなマルウェア ファミリを配布したことで注目を集めました。それ以降、EncryptHub はステージングとコマンド アンド コントロール (C&C) 操作を独自のインフラストラクチャに移行しました。
正規のソフトウェアを装う
Water Gamayun は、DingTalk、QQTalk、VooV Meeting などの正規のアプリケーションを装った .msi インストーラー内にマルウェアを隠します。これらのインストーラーは PowerShell ダウンローダーを実行し、侵害されたシステムで次の段階のペイロードを取得して実行します。
SilentPrism と DarkWisp: ステルス型 PowerShell インプラント
SilentPrism は、永続性を確立し、複数のシェル コマンドを実行し、分析回避技術を使用して検出を回避する PowerShell ベースのインプラントです。
別の PowerShell バックドアである DarkWisp は、システムの偵察、データの流出、感染したマシンへの長期的なアクセスの維持に特化しています。
C&C通信とコマンド実行
感染すると、マルウェアは偵察データを C&C サーバーに流出させ、TCP ポート 8080 経由でコマンドを待機する連続ループに入ります。コマンドは COMMAND|
MSC EvilTwin Loader: Rhadamanthys Stealer の展開
この攻撃チェーンで最も懸念されるペイロードの 1 つは、CVE-2025-26633 を悪用して悪意のある .msc ファイルを実行する MSC EvilTwin ローダーです。これは最終的に、データ窃盗用に設計された有名なマルウェアであるRhadamanthys Stealerの展開につながります。
武器庫の拡張: スティーラーとカスタムバリアントの追加
Water Gamayun は Rhadamanthys だけに依存しているわけではありません。StealCと3 つのカスタム PowerShell ベースのスティーラー (EncryptHub Stealer の亜種 A、B、C) も配布しています。オープンソースの Kematian Stealer をベースにしたこれらの亜種は、マルウェア対策の詳細、インストールされているソフトウェア、ネットワーク構成、実行中のアプリケーションなど、広範なシステム データを抽出します。
暗号通貨と機密データを狙う
この窃盗型マルウェアは、Wi-Fi パスワード、Windows プロダクト キー、ブラウザー データ、クリップボード履歴など、さまざまな認証情報を収集します。特に、暗号通貨ウォレットに関連するファイルを明示的に検索し、リカバリ フレーズや金融資産を収集する意図があることを示しています。
ステルスのための土地採掘技術
EncryptHub Stealer の亜種の 1 つに見られるユニークな特徴は、living-off-the-land バイナリ (LOLBin) 技術を使用していることです。IntelliJ の runnerw.exe を利用してリモート PowerShell スクリプトの実行をプロキシし、そのアクティビティをさらに難読化します。
複数のチャネルを通じてマルウェアを拡散する
Water Gamayun の脅威的な MSI パッケージとバイナリ ドロッパーは、 Lumma Stealer 、 Amadey 、さまざまな暗号通貨に特化したクリッパーなど、追加のマルウェア ファミリを配布していることが判明しています。
C&C インフラストラクチャ: PowerShell によるリモート制御
Water Gamayun の C&C インフラストラクチャ (特に 82.115.223[.]182) を分析すると、PowerShell スクリプトを使用して AnyDesk ソフトウェアをダウンロードし、リモート アクセスで実行していることが明らかになりました。また、シームレスな制御のために、Base64 でエンコードされたリモート コマンドを被害者のマシンに送信します。
適応性と持続性:ウォーター・ガマユンの脅威の状況
Water Gamayun は、署名付き MSI ファイル、LOLBin、カスタム ペイロードなど、複数の攻撃ベクトルを使用しており、システム侵入における適応性の高さが際立っています。高度な C&C インフラストラクチャにより、フォレンジック調査を回避しながら長期的な持続性を維持できます。
CVE-2025-26633 脆弱性ビデオ
ヒント:サウンドをオンにして、フルスクリーンモードでビデオを視聴します。
