攻擊活動概況

安全研究人員發(fā)現(xiàn)，利用微軟Windows近期修補的零日漏洞（zero-day）發(fā)起攻擊的黑客組織正在部署兩款新型后門程序——SilentPrism和DarkWisp。該活動被歸因于疑似俄羅斯黑客組織Water Gamayun（又名EncryptHub和LARVA-208）。

趨勢科技研究人員Aliakbar Zahravi和Ahmed Mohamed Ibrahim在上周發(fā)布的追蹤分析報告中指出："攻擊者主要通過惡意配置包、經(jīng)過簽名的.msi安裝文件以及Windows MSC文件來投放有效載荷，并利用IntelliJ runnerw.exe等技術實現(xiàn)命令執(zhí)行。"

攻擊技術分析

Water Gamayun組織利用微軟管理控制臺（MMC）框架中的漏洞CVE-2025-26633（又稱MSC EvilTwin），通過偽造的微軟控制臺（.msc）文件執(zhí)行惡意軟件。攻擊鏈涉及使用配置包（.ppkg）、經(jīng)過簽名的微軟Windows安裝文件（.msi）以及.msc文件來投放具有持久化能力和數(shù)據(jù)竊取功能的信息竊取程序與后門。

EncryptHub在2024年6月底首次引起關注，當時該組織通過名為"encrypthub"的GitHub倉庫，借助虛假WinRAR網(wǎng)站傳播各類惡意軟件家族（包括竊密程序、挖礦軟件和勒索軟件）。此后，攻擊者已轉向使用自建基礎設施進行攻擊部署和命令控制（C&C）。

惡意軟件功能

攻擊中使用的.msi安裝程序偽裝成釘釘、QQTalk和騰訊會議等合法通訊軟件，實際會執(zhí)行PowerShell下載器，進而在受感染主機上獲取并運行下一階段有效載荷。

其中一款名為SilentPrism的PowerShell植入程序可建立持久化機制、同時執(zhí)行多條shell命令并維持遠程控制，同時采用反分析技術規(guī)避檢測。另一款值得注意的PowerShell后門DarkWisp則能執(zhí)行系統(tǒng)偵察、敏感數(shù)據(jù)外泄和持久化操作。

研究人員表示："惡意軟件將偵察到的系統(tǒng)信息外泄至C&C服務器后，會進入持續(xù)循環(huán)等待命令狀態(tài)。它通過8080端口的TCP連接接收命令，命令格式為COMMAND|<base64編碼命令>。主通信循環(huán)確保與服務器持續(xù)交互，處理命令、維持連接并安全傳輸結果。"

攻擊載荷演變

攻擊中投放的第三個有效載荷是MSC EvilTwin加載器，該工具利用CVE-2025-26633漏洞執(zhí)行惡意.msc文件，最終部署Rhadamanthys竊密程序。該加載器還設計有系統(tǒng)清理功能，可消除取證痕跡。

Water Gamayun的攻擊武器庫不僅包含Rhadamanthys，還被發(fā)現(xiàn)投放另一款商業(yè)化竊密程序StealC，以及三款定制化PowerShell變體（分別稱為EncryptHub竊密程序變體A、B和C）。這款定制竊密程序功能全面，可收集包括殺毒軟件詳情、已安裝程序、網(wǎng)絡適配器和運行中應用在內的系統(tǒng)信息，還能竊取Wi-Fi密碼、Windows產(chǎn)品密鑰、剪貼板歷史記錄、瀏覽器憑據(jù)，以及來自消息應用、VPN、FTP和密碼管理工具等各類應用的會話數(shù)據(jù)。

值得注意的是，該程序會專門篩選匹配特定關鍵詞和擴展名的文件，表明其重點關注與加密貨幣錢包相關的恢復短語收集。研究人員指出："這些變體功能相似，僅存在細微修改差異。本研究中涉及的所有EncryptHub變體都是開源Kematian竊密程序的修改版本。"

基礎設施與戰(zhàn)術演進

對攻擊者C&C基礎設施（"82.115.223[.]182"）的深入分析顯示，他們還使用其他PowerShell腳本下載并執(zhí)行AnyDesk軟件實現(xiàn)遠程訪問，攻擊者能夠向受害機器發(fā)送Base64編碼的遠程命令。

趨勢科技總結道："Water Gamayun在攻擊活動中采用多種投放方法和技術，例如通過經(jīng)過簽名的微軟安裝文件配置惡意載荷，以及利用LOLBins（無文件攻擊技術），突顯了其在入侵受害者系統(tǒng)和數(shù)據(jù)方面的適應能力。其精心設計的有效載荷和C&C基礎設施使攻擊者能夠維持持久訪問、動態(tài)控制受感染系統(tǒng)并混淆其活動。"