Недавний отчет о киберугрозах вновь подтвердил активность российской хакерской группы Water Gamayun, которая использует уязвимость нулевого дня в платформе Microsoft Management Console Framework (CVE-2025-26633) для осуществления атак на целевые системы. Группа применяет различные подходы для доставки вредоносного ПО, выполнения кода и утечки конфиденциальных данных, подчеркивая свою адаптивность и инновационные методы ведения кибервойны.
Методы эксплуатации уязвимости
Water Gamayun использует многоуровневую стратегию для атак, в которую входят:
- Доставка вредоносных пакетов с помощью подписанных msi-файлов и файлов Windows MSC;
- Использование пользовательской полезной нагрузки;
- Запуск команд PowerShell через IntelliJ process launcher (runnerw.exe).
Такой подход демонстрирует высокую степень адаптивности исполнителя, который умеет применять законные инструменты для достижения своих целей.
Арсенал вредоносных программ
Группа владеет разнообразным арсеналом вредоносного ПО, среди которого выделяются:
- SilentPrism — бэкдор, который стабильно работает, используя изменения реестра и запланированные задачи для сохранения контроля;
- DarkWisp — новый бэкдор на базе PowerShell, который собирает системную информацию и передает ее на сервер C&C.
Сбор и утечка данных
Water Gamayun активно использует различные версии программы EncryptHub Stealer, которая модифицирована на основе Kematian Stealer. Основные функции этого ПО направлены на:
- Сбор конфиденциальной информации: паролей, буфера обмена и конфигураций программ;
- Доставку вредоносных данных с использованием MSI-пакетов и исполняемых дропперов.
Адаптация инфраструктуры и методов
Недавно Water Gamayun перенес свою инфраструктуру C&C в динамические домены, такие как 82.115.223.182, меняя серверы для избежания обнаружения. Разработка вредоносного ПО также демонстрирует значительные изменения в функциональности:
- Использование методов обфускации для уклонения от анализа;
- Обновленный шифровальщик EncryptHub Stealer variant C, который загружает данные напрямую на жестко запрограммированный сервер по протоколу HTTPS.
Таким образом, активность группы Water Gamayun вызывает серьезные опасения в сфере кибербезопасности. Их инновационные методы и адаптивность свидетельствуют о продолжающейся эволюции киберугроз, что требует внимания со стороны специалистов по безопасности и организаций.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "Уязвимость нулевого дня: Water Gamayun и его угрозы".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.