Malware
Water Gamayuns Arsenal und Infrastruktur
Die von Water Gamayun eingesetzten Methoden und Techniken zeigen, wie flexibel die T?ter beim Kompromittieren der Opfersysteme vorgehen. Wir haben das Arsenal der Gruppe im Detail analysiert, einschlie?lich Backdoors, Payloads und C&C-Infrastruktur.
Save to Folio
Zusammenfassung
- Water Gamayun nutzt die MSC EvilTwin Zero-Day-Schwachstelle (CVE-2025-26633) aus, um Systeme zu kompromittieren und Daten zu exfiltrieren, verwendet benutzerdefinierte Nutzdaten und Datenexfiltrationstechniken.
- Der Bedrohungsakteur provisioniert die Payloads haupts?chlich über b?sartige Bereitstellungspakete, signierte .msi-Dateien und Windows MSC-Dateien und verwendet Techniken wie die IntelliJ runnerw.exe zur Befehlsausführung.
- EncryptHub Stealer-Varianten und Backdoors wie SilentPrism und DarkWisp werden ebenfalls eingesetzt, um die Persistenz zu erh?hen und Daten zu stehlen. Diese Malware-Arten kommunizieren mit C&C-Servern zur Befehlsausführung und Datenexfiltration, wobei sie verschlüsselte Kan?le und Anti-Analyse-Techniken nutzen.
Water Gamayun, ein mutma?licher russischer Bedrohungsakteur, auch bekannt als EncryptHub und Larva-208, hat die Zero-Day-Schwachstelle MSC EvilTwin (CVE-2025-26633) ausgenutzt, die behoben wurde. Wir haben bereits über die Erkenntnisse aus einer seiner Kampagnen die diese Schwachstelle ausnutzt, berichtet.
Die Verwendung verschiedener Bereitstellungsmethoden und -techniken in der Kampagne von Water Gamayun, wie sch?dliche Payloads über signierte Microsoft-Installationsdateien und die Nutzung von LOLBins, unterstreicht die Anpassungsf?higkeit der Gruppe bei der Kompromittierung der Systeme und Daten der Opfer. Wir das Arsenal an Tools der Gruppe Water Gamayun detailliert beschrieben, darunter benutzerdefinierte Backdoors wie SilentPrism und DarkWisp sowie Informationsdiebe wie EncryptHub Stealer-Varianten und bekannte Malware wie Stealc und Rhadamanthys.Ihre ausgeklügelten Payloads und C&C-Infrastrukturen erm?glichen es den Angreifern, ihre Persistenz aufrechtzuerhalten, infizierte Systeme dynamisch zu kontrollieren und ihre Aktivit?ten zu verschleiern. Durch den Zugriff auf die Komponenten und Module ihrer C&C-Server konnten wir eine umfassende Analyse ihrer Architektur, Funktionalit?t und Umgehungstechniken durchführen.
Die folgenden Module geh?ren zum Arsenal von Water Gamayun: EncryptHub-Stealer, DarkWisp-Backdoor, SilentPrism-Backdoor, MSC EvilTwin-Loader, Stealc sowie Rhadamanthys Stealer.
EncryptHub
Unter dem Namen EncryptHub wurden in einem GitHub-Repository b?sartige Tools gespeichert.
Bild 1. EncryptHub Github Repository
Das Repository wurde dann in eine andere Dom?ne encrypthub.(net/org) verschoben. Die Angreifer führten ihre Aktionen von der Dom?ne aus aus und nutzten sie, sowohl um Malware zu hosten als auch um ihre C&C-Serverinfrastruktur zu managen.
Zum Zeitpunkt unserer Untersuchung war die Domain encrypthub.(net/org) nicht mehr funktionsf?hig. W?hrend unserer Untersuchung entdeckten wir eine neue und aktive Domain, die unter 82[.]115[.]223[.]182 gehostet wird. Normalerweise ist der Server einige Tage lang aktiv, bevor er durch einen neuen ersetzt wird. Einzelheiten zum MSI-Malware-Verteilungsvektor enth?lt der Originalbeitrag. Die MSI-Datei (Microsoft Installer) ist so konzipiert, dass sie einen PowerShell-Downloader ausführt, der die Payload der n?chsten Stufe auf ein infiziertes System herunterl?dt und ausführt. Der Bedrohungsakteur nutzt die Funktion ?Benutzerdefinierte Aktion“ im MSI-Paketformat, um das PowerShell-Skript auszuführen.
SilentPrism Backdoor
SilentPrism ist eine Backdoor, die darauf ausgelegt ist, Persistenz zu erreichen, Shell-Befehle dynamisch auszuführen und die unbefugte Fernsteuerung kompromittierter Systeme aufrechtzuerhalten. Sie implementiert Persistenzmechanismen auf unterschiedliche Weise, je nach den Berechtigungen der Nutzer: Bei Nutzern ohne Administratorrechte nutzt sie die Windows-Registry, um mithilfe von mshta.exe in Kombination mit VBScript Eintr?ge für die automatische Ausführung zu erstellen, um Payloads aus der Ferne herunterzuladen und auszuführen; bei Administratoren setzt sie geplante Aufgaben mit ?hnlichen Ausführungsmethoden ein. SilentPrism ruft zus?tzliche Payloads und Anweisungen von einem C&C-Server ab und gew?hrleistet so eine modulare Funktionalit?t.
Die Malware kommuniziert mit ihrem C&C-Server über verschlüsselte Kan?le und verwendet dabei AES-Verschlüsselung und Base64-Kodierung, um Daten zu verschleiern. Die empfangenen Befehle werden auf verschiedene Weise entschlüsselt und ausgeführt, darunter die direkte Ausführung von PowerShell-Skripten, die dynamische Erstellung von Skriptbl?cken oder die auftragsbasierte Ausführung. Jede Aufgabe wird mithilfe eindeutiger Kennungen nachverfolgt, sodass die Malware die Ausführungszust?nde überwachen und Ergebnisse an den Server zurückgeben kann.
SilentPrism enth?lt Anti-Analyse-Techniken wie die Erkennung virtueller Maschinen und zuf?llige Ruheintervalle (zwischen 300 und 700 Millisekunden) zwischen den Vorg?ngen, wodurch das Verhalten weniger vorhersehbar ist. Darüber hinaus fragt es den C&C-Server kontinuierlich nach Befehlen ab, sodass die Bediener infizierte Systeme dynamisch steuern k?nnen.
MSC EvilTwin Loader
Der MSC EvilTwin-Loader stellt einen neuartigen Ansatz (CVE-2025-26633) zur Bereitstellung von Malware dar, indem er speziell erstellte Microsoft Saved Console (.msc)-Dateien nutzt. Weitere Einzelheiten umfasst der Originalbeitrag.
DarkWisp Backdoor
Um auf infizierten Systemen persistent zu bleiben, setzt Water Gamayun in seinen Kampagnen zwei verschiedene Backdoors ein. In früheren Kampagnen mit encrypthub[.]net/org wurde die SilentPrism-Backdoor verwendet, ein Tool, das für den verdeckten Zugriff und die verdeckte Steuerung entwickelt wurde. In ihrer neuesten Kampagne gibt es eine neue Backdoor DarkWisp. Es ist eine PowerShell-basierte Backdoor- und Erkundungs-Utility für den unbefugten Systemzugriff und das Sammeln von Informationen. Sie erm?glicht Angreifern, sensible Daten zu exfiltrieren und dabei die persistente Kontrolle über das kompromittierte System zu behalten.
Bild 2. Ablaufdiagramm von DarkWisp
Die Malware sammelt umfangreiche Informationen über das kompromittierte System, um ein detailliertes Profil zu erstellen. Sie ermittelt, ob der Nutzer über Administratorrechte verfügt, überprüft, ob er Mitglied einer Unternehmensdom?ne ist, und identifiziert das Vorhandensein von Kryptow?hrungs-Wallets oder VPN-Software, indem sie bestimmte Verzeichnisse und Anwendungen scannt. Sie sammelt auch Daten über die Betriebsumgebung, einschlie?lich der ?ffentlichen IP-Adresse, des geografischen Standorts, der installierten Antivirenprodukte, des Firewall-Status und der Systemlaufzeit. Diese Informationen werden in einem strukturierten Format zusammengestellt und an den C&C-Server übermittelt.
Die Malware implementiert eine Zweikanal-C&C-Kommunikationsstrategie. Weitere Einzelheiten umfasst der Originalbeitrag.
EncryptHub Stealers
Wir haben fünf Informationsdiebe im Water Gamayun-Arsenal identifiziert, darunter drei benutzerdefinierte PowerShell-Payloads und zwei bekannte Malware-Bin?rdateien: Stealc und Rhadamanthys Stealer.
In einer Kampagne, bei der Malware über encrypthub[.]org/net verbreitet wurde, wurden die benutzerdefinierten PowerShell-basierten Stealer stealer_module.ps1 und encrypthub_steal.ps1 verwendet; EncryptHub Stealer Variante A. Die Payloads wurden in 82[.]115[.]223[.]182/payload bereitgestellt, der Info-Stealer wurde fickle_payload.ps1 genannt; EncryptHub-Stealer-Variante B. In einer neueren Kampagne haben wir eine weitere Variante namens payload.ps1 identifiziert; EncryptHub-Stealer-Variante C. Diese Varianten weisen ?hnliche Funktionen und F?higkeiten auf, die sich nur durch geringfügige ?nderungen unterscheiden. Weitere Einzelheiten zu den Varianten umfasst der Originalbeitrag.
Bild 3. Ablaufdiagramm der EncryptHub Stealer
EncryptHub Infrastruktur
Im Zuge unserer Untersuchungen fanden wir neue und aktive Infrastruktur, die EncryptHub verwendet. Er nutzt die Domain 82[.]115.223[.]182, noch in der Entwicklung, zum Hosten einer Vielfalt von Payloads, sowie von gesammelten Daten von kompromittierten Systemen, als auch für die Server-seitige Implementierung der C&C-Infrastruktur.
Darüber hinaus stellten wir fest, dass der Bedrohungsakteur HTML-Seiten verwendet, die im Browser leer erscheinen, bei genauerer Betrachtung jedoch versteckten JavaScript-Code enthalten. Dieses verborgene JavaScript ist darauf ausgelegt, zus?tzliche sch?dliche Dateien herunterzuladen, darunter Backdoors wie DarkWisp, Stealer wie Stealc und Rhadamanthys sowie die Software AnyDesk, die für den Fernzugriff verwendet wird. Weitere Einzelheiten umfasst der Originalbeitrag.
Fazit
Für Unternehmen ist es unerl?sslich, über solche sich entwickelnden Bedrohungen auf dem Laufenden zu bleiben und die Bedeutung einer fortschrittlichen Bedrohungserkennung und robuster Cybersicherheitsma?nahmen zu verstehen. Durch die Nutzung der neuesten Bedrohungsinformationen und die Einführung proaktiver Verteidigungsstrategien k?nnen sich Organisationen besser vor Akteuren wie Water Gamayun schützen und potenzielle Risiken mindern. L?sungen wie
Mit Trend Vision One erhalten Anwender beispielsweise eine KI-gestützte Cybersicherheitsplattform, die das Management von Cyberrisiken, den Sicherheitsbetrieb und einen robusten mehrschichtigen Schutz zentralisiert.