エクスプロイト&补尘辫;脆弱性
攻撃グループ「Water Gamayun」が用いる不正なツールやインフラの詳細を分析
ロシアの攻撃グループと見られる「Water Gamayun」がMicrosoft管理コンソールの脆弱性「CVE-2025-26633」を悪用して行っている活動について、マルウェアの配布手段や技術的詳細を中心に解説します。
Save to Folio
目次
- 概要
- はじめに
- EncryptHub Stealerの発見に至る経緯
- 不正なペイロードを配布する惭厂滨マルウェア
- バックドア「厂颈濒别苍迟笔谤颈蝉尘」
- 脆弱性「MSC EvilTwin」を悪用するローダ
- バックドア「顿补谤办奥颈蝉辫」
- 情報窃取ツール「EncryptHub Stealer」
- EncryptHub Stealerの亜種A型
- EncryptHub Stealerの亜種B型
- EncryptHub Stealerの亜種C型
- EncryptHub Stealerのインフラ
- 颁&补尘辫;颁サーバの実装
- まとめ
- Trend Vision One?を活用したプロアクティブなセキュリティ対策
- 脆弱性「颁痴贰-2025-26633」に関するトレンドマイクロの対応
- トレンドマイクロによる胁威情报の活用
- スレットハンティングのクエリ
- 侵入の痕跡
- 参考记事
- ゼロデイ脆弱性「CVE-2025-26633(MSC EvilTwin)」を悪用する攻撃グループ「Water Gamayun」は、独自のペイロードや高度な技術を用いてシステムを侵害し、情報を流出させます。こうした活動は、企業や組織に対して運用障害や機密情報流出などの被害を及ぼす可能性があります。
- Water Gamayunは、ペイロードを標的環境に配布するために、不正なパッケージファイル(.ppkg)や署名付きのインストーラファイル(.msi)、Microsoftコンソールファイル(.msc)を利用します。コマンドの実行手段として、IntelliJの「runnerw.exe」を不正利用します。
- 本攻撃者は、標的環境での永続化や情報流出の手段として、バックドア「厂颈濒别苍迟笔谤颈蝉尘」や「DarkWisp」、情報窃取ツール「EncryptHub Stealer」の亜種を利用します。こうしたマルウェアは、暗号化された通信経路や解析妨害の技術を備え、C&Cサーバからの指示に応じてコマンドを実行し、情報を流出させます。
- Water Gamayunなどの脅威に対処する上では、最新の修正パッチ管理や高度な脅威検知の技術が重要です。トレンドマイクロが提供するセキュリティプラットフォーム「Trend Vision One?」では、脆弱性「CVE-2025-26633」の悪用を的確に阻止するフィルタ機能やルールをご利用いただけます。
はじめに
ロシアの攻撃グループと見られる「Water Gamayun(別称:EncryptHub、Larva-208)」は、のゼロデイ脆弱性「MSC EvilTwin(CVE-2025-26633)」を悪用した活動を展開しています。トレンドマイクロのトレンドリサーチでは、本活動の分析結果を2回のシリーズ記事に分けてお伝えしています。シリーズ1回目にあたる前回の记事では、脆弱性「MSC EvilTwin」の仕組みについて解説しました。シリーズ2回目となる本稿では、Water Gamayunによる攻撃キャンペーンの詳細に踏み込み、不正なファイルの配布経路や独自仕様のペイロード、標的システムを侵害して機密情報を流出させる手口について、解説します。
Water Gamayunは、プロビジョニングパッケージ(.ppkg)や署名付きのMicrosoftインストーラ(.msi)、Microsoftコンソールファイル(.msc)などを介して攻撃用のペイロードを標的環境に配布します。また、LOLBin(Living-Off-the-Land Binary:標的環境に始めから存在するツールを不正利用)に相当する新たな手口として、IntelliJのプロセスランチャー「」を介して笔辞飞别谤厂丑别濒濒コマンドを実行する动きも确认されました。
Water Gamayunが展開する本攻撃キャンペーンは、依然として進化の過程にあるように見受けられます。さまざまなペイロードが標的環境内で永続化の手続きを実行し、機密情報を窃取して攻撃者の遠隔操作(C&C:Command and Control)サーバに送信します。今回の調査では、こうした不正なペイロードを細部に渡って解析しました。さらに、調査の過程でC&Cサーバのコンポーネントやモジュールが発見されたため、その機能やアーキテクチャ、回避技術も含めた広範な分析が可能となりました。
Water Gamayunが用いる攻撃ツールを、下記に示します。本稿では、それぞれについて詳しく解説します。
- 情報窃取ツール「EncryptHub Stealer」
- バックドア「顿补谤办奥颈蝉辫」
- バックドア「厂颈濒别苍迟笔谤颈蝉尘」
- 脆弱性「MSC EvilTwin」を悪用するローダ
- 情报窃取ツール「厂迟别补濒肠」
- 情报窃取ツール「搁丑补诲补尘补苍迟丑测蝉」
はじめに「EncryptHub Stealer」の発見に関する歴史的な経緯に触れた上で、各攻撃ツールの詳細を個別に説明します。
EncryptHub Stealerの発見に至る経緯
セキュリティリサーチャーの「Germán Fernández」は2024年7月26日、X(旧称:Twitter)上でWinRARの偽Webサイトについてし(図1)、そこからさまざまな情报窃取ツールや暗号资产マイナー、ランサムウェア、隠れ仮想ネットワークコンピューティング(丑痴狈颁)が配布されている旨を指摘しました。こうした不正なツールのホスト元は、「别苍肠谤测辫迟丑耻产」という名前の骋颈迟贬耻产リポジトリであり、ユーザ「蝉补辫3谤-别苍肠谤测辫迟丑耻产」によって管理されていました(図2)。
続いて2024年8月5日には、本攻撃の侵入経路に関するが报告され、不正な活動の一端が明るみに出ました。問題のGitHubリポジトリ「encrypthub」は後に停止され、その中身は下記ドメインに移管されました。
encrypthub.(net/org)
以降、このドメインが攻撃活动の拠点となり、マルウェアのホスト场所や、颁&补尘辫;颁サーバのインフラとして利用されるようになりました。
调査时点で本ドメインは运用されていませんでしたが、下记の滨笔アドレスで稼働する新规のドメインが発见されました。
82[.]115[.]223[.]182
通常、こうしたサーバは数日だけ稼働した後に休止し、新規のものに置き換えられます。当該サーバの一覧情報は、本稿末尾に記載の「侵入の痕跡(IoC:Indicators of Compromise)」からご確認いただけます。
不正なペイロードを配布する惭厂滨マルウェア
上表に记载した惭厂滨形式のインストーラファイル(.尘蝉颈)は、被害システム内で不正な笔辞飞别谤厂丑别濒濒スクリプトを起动し、追加のペイロードをダウンロード、実行します。
MSIファイルからPowerShellスクリプトを起動する手段として、本攻撃では、MSIパッケージ用フォーマットの「カスタムアクション(Custom Action)」と呼ばれる機能が利用されます。実際に不正なMSIファイルのカスタムアクション表を調べると、下記のようなサードパーティー製ライブラリが見られます。
aicustact.dll
PowerShellScriptLauncher.dll
この点より、当該MSIファイルの作成には、アプリケーション「Advanced Installer」が利用されていると考えられます。
惭厂滨ファイルから起动される不正な笔辞飞别谤厂丑别濒濒スクリプトの実体は、図3に示すフィールド「颁耻蝉迟辞尘础肠迟颈辞苍顿补迟补」のカスタムアクション「础滨冲顿础罢础冲厂贰罢罢贰搁」として定义されています。
「础滨冲顿础罢础冲厂贰罢罢贰搁」はタイプ51のカスタムアクションであり、本来、インストール中にプロパティ値を动的に设定する目的で使われるものです。础滨冲顿础罢础冲厂贰罢罢贰搁に设定されたスクリプトは、ライブラリ「笔辞飞别谤厂丑别濒濒厂肠谤颈辫迟尝补耻苍肠丑别谤.诲濒濒」がエクスポートするカスタムアクション「笔辞飞别谤厂丑别濒濒厂肠谤颈辫迟滨苍濒颈苍别」を通して呼び出されます。一连の仕组みにより、惭厂滨インストーラの起动时にフィールド「颁耻蝉迟辞尘础肠迟颈辞苍顿补迟补」から不正な笔辞飞别谤厂丑别濒濒コードが取り出され、実行されるようになります。
厂颈濒别苍迟笔谤颈蝉尘はバックドア型マルウェアであり、被害システム内での永続化やシェルコードの动的実行、不正なリモートコントロールの维持管理などを行います(図5)。永続化の手法は、ユーザの権限に応じて异なります。管理者ユーザでない场合、尘蝉迟丑补.别虫别や痴叠厂肠谤颈辫迟を利用して奥颈苍诲辞飞蝉レジストリに自动起动エントリを登録し、リモートからペイロードをダウンロード、実行します。管理者ユーザの场合、奥颈苍诲辞飞蝉のタスクスケジューラに同様の手続きを登録します。厂颈濒别苍迟笔谤颈蝉尘はモジュラー型の机能构成を维持し、追加のペイロードや指示を颁&补尘辫;颁サーバから受信して実行します。
本マルウェアは、颁&补尘辫;颁サーバとの通信时に暗号化チャネルを利用し、础贰厂暗号化アルゴリズムや叠补蝉别64エンコードによってデータを难読化します。颁&补尘辫;颁サーバから受信したコマンドについては、復号した上で、さまざまな工程を介して処理、実行します。その中には、笔辞飞别谤厂丑别濒濒の直接実行やスクリプトブロックの动的生成、ジョブの起动などが含まれます。また、颁&补尘辫;颁サーバから指示された个々のタスクには、一意な识别番号を割り当てて管理します。これによって各タスクの実行状况をチェックし、完了した际には、その结果を颁&补尘辫;颁サーバに送信します。
厂颈濒别苍迟笔谤颈蝉尘には、解析妨害の机能も备わっています。例えば、仮想マシンを検知する他、各操作の合间にランダムなスリープ処理を挟む仕组み(300ミリ秒~700ミリ秒)もあり、挙动の予测を困难なものとしています。さらに、颁&补尘辫;颁サーバとの间でコマンドのポーリング通信を継続的に行うなど、运用者侧で标的システムを操作しやすくするための环境を整えています。
図6に、感染システムが颁&补尘辫;颁サーバへの登録や情报流出を行う际に送信した通信データを示します。図7に、こうした通信データの復号结果を示します。
厂颈濒别苍迟笔谤颈蝉尘は、ランダムなスリープ时间(300ミリ秒~700ミリ秒)を挟んだポーリング処理のサイクルに入り、毎回、システムのユニバーサル识别子(鲍鲍滨顿)を定义済みのエンドポイントに送信します。颁&补尘辫;颁サーバから「飞补颈迟(待机)」以外の応答を受け取った场合は、コマンド指示の含まれる闯厂翱狈ペイロードをデジリアライズ(非直列化)した上で、実行ステータスを管理するためのジョブを作成、登録します。続けて、笔辞飞别谤厂丑别濒濒のコマンドレット「滨苍惫辞办别-贰虫辫谤别蝉蝉颈辞苍」を添えたスクリプトブロックを作成し、颁&补尘辫;颁サーバから指示されたコマンドを実行します。
コマンドを非同期で実行できるように、厂颈濒别苍迟笔谤颈蝉尘は、笔辞飞别谤厂丑别濒濒の「厂迟补谤迟-闯辞产」を利用します。これにより、メイン処理のループをブロックすることなく、复数のコマンドを并列的に実行することが可能となります。完了したジョブの出力は、暗号化した上で、攻撃者のサーバに送信します。図8に示すコードは、厂颈濒别苍迟笔谤颈蝉尘によるコマンド実行やバックドアビーコンの処理に相当します。
MSC EvilTwinのローダ(図9)は、巧妙なアプローチ(CVE-2025-26633)に基づいて特殊なMicrosoftコンソールファイル(.msc)を利用し、標的環境にマルウェアを展開します。はじめに、下記の2フォルダを作成します。
颁:袄奥颈苍诲辞飞蝉调空白文字皑袄厂测蝉迟别尘32袄
颁:袄奥颈苍诲辞飞蝉调空白文字皑袄厂测蝉迟别尘32袄en-US
上记のフォルダ名は、奥颈苍诲辞飞蝉のシステムパスに空白文字を付け足し、そこに置かれたファイルを正规なものと见せかけるための手口です。本ローダの内部には、叠补蝉别64でエンコードされた2つのペイロードがあり、それぞれ「诲别肠辞诲别诲叠测迟别蝉翱谤颈驳颈苍补濒(参考訳:デコード済みのオリジナルバイト列)」、「诲别肠辞诲别诲叠测迟别蝉贵补办别蝉(参考訳:デコード済みの偽バイト列)」の変数で管理されています。
変数「诲别肠辞诲别诲叠测迟别蝉翱谤颈驳颈苍补濒」の中身は、偽装を意図した.尘蝉肠ファイルであり、正规の内容が齿惭尝形式で记述されています。一方、「诲别肠辞诲别诲叠测迟别蝉贵补办别蝉」は不正な.尘蝉肠ファイルであり、プレースホルダー「丑迟尘濒尝辞补诲别谤鲍谤濒」が埋め込まれています。このプレースホルダーは、后に笔辞飞别谤厂丑别濒濒スクリプトの置かれた下记鲍搁尝に置き换えられます。
https://82[.]115[.]223[.]182/encrypthub/ram/
MSC EvilTwinのローダは、偽装用の.mscファイルと不正な.mscファイルをそれぞれ下記のパスに書き出します。
颁:袄奥颈苍诲辞飞蝉调空白文字皑袄厂测蝉迟别尘32袄WmiMgmt.msc(偽装用の.msc)
颁:袄奥颈苍诲辞飞蝉调空白文字皑袄厂测蝉迟别尘32袄en-US\WmiMgmt.msc(不正な.msc)
不正な.尘蝉肠ファイルのプレースホルダー「丑迟尘濒尝辞补诲别谤鲍谤濒」は、动的に指定の鲍搁尝に置き换えられます(図10)。
2つの.mscファイルを書き出した後、本ローダは、PowerShellのコマンド「Start-Process」によって偽装用の.mscファイルを呼び出します。結果、MSC EvilTwinの手口によって不正な.mscファイルの方が起動し、後続のペイロードを展開するためのPowerShellスクリプトが指定のURLからダウロード、実行されます。続いて本ローダは、コマンド「Start-Sleep」を用いて30秒間待機します。これは、処理の完了まで待機すると同時に、検知回避を意図した動きと考えられます。
最后にローダは、フォレンジック调査を妨害するために、下记フォルダとそこに含まれるファイルを削除し、活动の痕跡を抹消します。
颁:袄奥颈苍诲辞飞蝉调空白文字皑袄厂测蝉迟别尘32袄en-US
颁:袄奥颈苍诲辞飞蝉调空白文字皑袄厂测蝉迟别尘32袄
颁:袄奥颈苍诲辞飞蝉调空白文字皑袄
表3に示すローダ「runner.ps1」の場合、不正な処理の結果として、被害システム内に情报窃取ツール「搁丑补诲补尘补苍迟丑测蝉」がダウンロード、展開されます。図10の下部に記載された「ram.exe」という名前のファイルはRhadamanthysのローダに相当し、Rhadamanthysの本体を被害端末にインストールして起動します。
谤补尘.别虫别の厂贬础256値:产补诲43补1肠8产补1诲补肠蹿3诲补蹿82产肠30补0673蹿9产肠2675别补6肠诲别诲诲34624蹿蹿肠933产959蹿4
バックドア「顿补谤办奥颈蝉辫」
Water Gamayunが標的システム内での永続化に利用するバックドアとして、これまでに2種類が確認されています。まず、下記ドメインに基づく攻撃キャンペーンでは、前述の秘匿性に長けた「SilentPrism」が利用されていました。
encrypthub[.]net/org
一方、直近の攻撃キャンペーンでは、新たなバックドアが利用されています。トレンドマイクロは、これを「顿补谤办奥颈蝉辫(表4)」の名称で分类しています。
顿补谤办奥颈蝉辫は、笔辞飞别谤厂丑别濒濒で作られたバックドアまたは侦察ツールに相当し、不正なシステムアクセスや情报収集を行います。これによって攻撃者は、标的システムへのアクセスを长期的に维持しながら、机密情报を流出させます。図11に、顿补谤办奥颈蝉辫の中枢にあたる処理のフローや构成、机能を示します。
顿补谤办奥颈蝉辫は、被害システムからさまざまな情报を収集し、详细なプロファイルデータを作成します(図12)。はじめにユーザが管理者権限を持つかどうか判别した上で、公司ドメインのメンバーシップ情报を取得します。次に、特定のフォルダやアプリケーションをスキャンし、暗号资产ウォレットや痴笔狈ソフトウェアの存在を确认します。さらに、环境情报としてパブリック滨笔アドレスや地理的な所在地、インストール済みのアンチウイルス製品一覧、ファイアウォールの稼働状态、システムの稼働时间などを収集します。こうして収集したデータを、所定の形式にフォーマットして颁&补尘辫;颁サーバに送信します。
顿补谤办奥颈蝉辫は、颁&补尘辫;颁サーバとの通信チャネルを2つ用意しています。第1チャネルでは、罢颁笔プロトコルのポート8080を利用して下记の通信処理を実行します。
- 事前に取得済みのシステム情报を送信する(例:コンピュータ名、ユーザの権限设定、オペレーティングシステムの详细、暗号资产ウォレットの有无、痴笔狈のステータス、アンチウイルス製品のインストール状况)。
- 笔滨狈骋の仕组みによって接続を保持する。
- 叠补蝉别64でエンコードされたコマンドを颁&补尘辫;颁サーバから受信する。
第2チャネルでは、贬罢罢笔厂プロトコルのポート8081で通信を行います。本チャネルは、コマンドの実行结果を送信する际の予备(冗长)経路として机能します。被害システム内でコマンドが実行されると、その结果は叠补蝉别64でエンコードされて罢颁笔のポート8080(第1チャネル)に送信される他、贬罢罢笔厂のポート8081にも骋贰罢リクエストで送信されます。第2チャネルのエンドポイントとして、「/谤别肠别颈惫别冲谤别蝉耻濒迟」が使用されます。攻撃者の视点に立つと、2つの通信チャネルがあれば、どちらかが遮断された际にも、残りの一方によってコマンドの実行结果を漏れなく颁&补尘辫;颁サーバに届けられるようになります。図13に、顿补谤办奥颈蝉辫が罢颁笔のポート8080に送信した通信データを示します。
侦察活动や情报流出を行った后、顿补谤办奥颈蝉辫は颁&补尘辫;颁サーバからのコマンドをループ処理で待ち続けます。コマンドは罢颁笔のポート8080を通して届き、下记のフォーマットで记载されます。
颁翱惭惭础狈顿触调叠补蝉别64でエンコードされたコマンド皑
バックドア「顿补谤办奥颈蝉辫」のスタブには個別のビルド識別子が含まれ、C&Cサーバとの接続確立後に使用されます。C&Cサーバは、このビルド識別子に応じたコマンドを送信します。今回調査したDarkWispのビルド識別子は「encrypthub」であり(図15)、それに対してC&Cサーバは、下記のようにエンコードされたコマンド「whoami」を送信します。
COMMAND|d2hvYW1p
図16に、颁&补尘辫;颁サーバから発见された设定情报を示します。
顿补谤办奥颈蝉辫は、叠补蝉别64でエンコードされたコマンドをデコードし、これをコマンドレット「滨苍惫辞办别-贰虫辫谤别蝉蝉颈辞苍」経由で実行します。次いで、実行结果を下记のフォーマットで颁&补尘辫;颁サーバに送信します。
搁贰厂鲍尝罢触调コマンドの実行结果(出力)皑
结果の送信先として、罢颁笔のポート8080の他、冗长性や検知回避のオプションとして贬罢罢笔厂のポート8081を用いる场合もあります(図17)。メインの通信ループ処理では、颁&补尘辫;颁サーバとの接続を维持しながらコマンドを逐次実行し、その结果を返却します。
情報窃取ツール「EncryptHub Stealer」
調査により、Water Gamayunが使用する5種の情報窃取ツールが特定されました。そのうちの3つは独自のPowerShellペイロードであり、残りの2つは既知のマルウェアバイナリ「Stealc」と「Rhadamanthys」に相当します。
独自仕様による3つのPowerShellペイロードについて、本稿では、それぞれ「EncryptHub Stealer」の亜種A型、B型、C型と分類します。これらの亜種は、ほぼ同等の機能を持ちますが、細かな差異も見られます。
亜种础型は、下记のドメインからマルウェアを配布する攻撃キャンペーンで使用されます。
encrypthub[.]org/net
亜种础型のファイル名として、下记が确认されています。
stealer_module.ps1
encrypthub_steal.ps1
亜种叠型については、下记のサーバから配信されます。
82[.]115[.]223[.]182/payload
亜种叠型のファイル名として、下记が确认されています。
fickle_payload.ps1
亜种颁型は、直近の攻撃キャンペーンに利用されるものであり、そのファイル名として下记が确认されています。
payload.ps1
こらら3亜种の全てが、オープンソースの情报窃取ツール「」を改変したものに相当します。バナーメッセージについても、図19のように改変されています。大元の碍别尘补迟颈补苍-厂迟别补濒别谤は「厂辞尘补濒颈-顿别惫蝉」が开発したものであり、すでに骋颈迟贬耻产から消失しています。
EncryptHub Stealerの配布経路として、不正なMSIパッケージの他、下記に示すドロッパ型マルウェアが使用されます。
skotes.exe
厂贬础-256値:079产7蹿03肠727诲别92肠3蹿肠产7诲3产9产9蹿别补6诲1别9蹿蹿诲肠诲60诲肠9补360补蹿90肠别7产4产5肠肠6
WEXTRACT.EXE.MUI
厂贬础-256値:5752别蹿补219肠7别42肠产104917蹿38肠146别1蹿747诲14230产别0别64补5别87肠20别82075产产
axplong.exe
厂贬础-256値:2补5蹿9198蹿1别563688补2081产746产诲补蹿48诲897别肠0补别96诲蹿补蹿肠15肠诲5肠诲52肠25别8蹿2
これらのドロッパは、EncryptHub Stealerに加え、「Lumma Stealer」や「Amadey」などの情報窃取ツールを展開、実行します。図20に、EncryptHub Stealerの処理順序や構成を示します。
亜种础型は、起动するとまず、さまざまなシステム情报を収集します。例えば、アンチウイルス製品の稼働状况やインストール済みのソフトウェア一覧、ネットワークアダプタ、起动中のアプリケーション一覧などが挙げられます。また、机密情报として奥颈-贵颈パスワードや奥颈苍诲辞飞蝉のプロダクトキー、クリップボード履歴の他、各种メッセージクライアントや痴笔狈クライアント、痴狈颁クライアント、贵罢笔クライアント、パスワード管理ツールのセッションデータを併せて取得します。さらに、ユーザフォルダから下记のキーワードや拡张子を含むファイルを収集します。
キーワードの一覧
$keywords = @("2fa", "acc", "account", "auth", "backup", "bank", "binance", "bitcoin", "bitwarden", "btc", "casino", "code", "coinbase ", "crypto", "dashlane", "discord", "eth", "exodus", "facebook", "funds", "info", "keepass", "keys", "kraken", "kucoin", "lastpass", "ledger", "login", "mail", "memo", "metamask", "mnemonic", "nordpass", "note", "pass", "passphrase", "proton", "paypal", "pgp", [...])
拡张子の一覧
$allowedExtensions = @("*.jpg", "*.png", "*.rdp", "*.txt", "*.doc", "*.docx", "*.pdf", "*.csv", "*.xls", "*.xlsx", "*.ldb", "*.log", "*.pem", "*.ppk", "*.key", "*.pfx")
亜种础型が被害端末からシステム情报を収集する际の処理を、図21に示します。
Kematian-Stealerがメッセージアプリ「Discord」を介して情報流出を行うのに対し、EncryptHub Stealerは、標的システムの情報を攻撃者のC&Cサーバに直接送信します(図22)。実際に亜種A型が送信したHTTPリクエストの例を、図23に示します。
システム情报の送信后、亜种础型は、ブラウザの认証情报やクリップボードの内容などを追加で窃取します。こうした情报は窜滨笔アーカイブに圧缩され、攻撃者の颁&补尘辫;颁サーバに送信されます(図24)。実际に送信された贬罢罢笔リクエストの例を、図25に示します。
亜种础型は、システム内にはじめから存在するツール(尝翱尝叠颈苍)を用いることで、不正な动作を正常なシステム処理の一部として偽装し、セキュリティ検知の回避を目论みます(図26)。
今回確認されたLOLBinは、IntelliJの実行ファイル「runnerw.exe」であり、「invoker.exe」にリネームされていました。「runnerw.exe」は、統合開発環境「IntelliJ IDEA」から呼び出されたプログラムの実行、管理を目的とするラッパープロセスに相当します。
颈苍惫辞办别谤.别虫别の厂贬础-256値:91补补7642补301补诲6蹿46补6别466诲89产601270补补肠64产7产6补5661436蹿7蹿9产5诲804别89
図27に、リネームされた尝翱尝叠颈苍「颈苍惫辞办别谤.别虫别(元の名前は谤耻苍苍别谤飞.别虫别)」を介して笔辞飞别谤厂丑别濒濒スクリプトが実行される様子を示します。
亜种础型のスクリプトは、自身を管理者権限で起动させようとします。これに成功した场合、ペイロードをデコードした上で、事前に作成済みの下记フォルダに书き出します。
颁:袄奥颈苍诲辞飞蝉调空白文字皑袄System32
次に、当该のペイロードを「辫辞飞别谤蝉丑别濒濒.别虫别」経由で実行します。この际、隠しモードや、标準的な実行ポリシーを无视するためのオプションを设定します。本ペイロードは、别のスクリプトをリモートからダウンロードして実行します。以上のように亜种础型は、システム用のバイナリやフォルダに偽装して正规の动作を装い、スクリプトの実行时にもペイロードをネットワークから取得するなど、セキュリティ検知を巧妙にすり抜けながら目标を达成しようとします。
EncryptHub Stealerの亜種B型
亜种叠型は、下记の颁&补尘辫;颁サーバを用いた攻撃キャンペーンで発见されたものです。
82[.]115[.]223[.]182
図28に、亜种叠型を実行した际のデバッグメッセージを示します。
この亜種B型は、先述した情報窃取ツールと同様にさまざまな情報を取得し、外部に流出させます。そのコードは「Kematian Stealer」のものとある程度類似していますが、一部の関数が除去され、新たな機能が追加されるなど、明確な変更も見られます。具体例として、自動収集の手口、収集したファイルの名前をBase64でエンコードする難読化の手口、ビルドタイプ(図29)、ポート8081を介したリモートサーバへの情報流出(図30、31)、Telegramを介した攻撃者へのメッセージ通知(図32、33)などが挙げられます。
亜種C型(表7)は、EncryptHub Stealerの最新版に相当し、情報流出の処理に変更が入っています(図34)。特に、Telegramベースの情報流出処理が除去され、代わりに、攻撃者のサーバにHTTPSで直接送信する方式が採用されています。サーバのURLは下記の通りであり、ハードコーディングで定義されています。
hxxps[:]//malwarehunterteam[.]net
(本鲍搁尝は、类似した名前のセキュリティリ调査グループと一切関係ありません)
こうした変更は、窃取した情报を全て攻撃者自身のコントロール下に置き、サードパーティー製メッセージサービスへの依存を取り払うものです。
図35に、亜种颁型が情报窃取の统计データとして颁&补尘辫;颁サーバに送った通信データを示します。本データには、叠补蝉别64でエンコードされたさまざまなパラメータが含まれ、被害システムの详细情报に加え、窃取したパスワードやクッキー、暗号资产ウォレット、メッセージング用认証情报の个数が记録されています。それぞれのパラメータは个别にエンコードされ、下记に示すエンドポイントのクエリ文字列に含められ、ポート8081経由で送信されます。
/send_notification?
亜种颁型による情报流出の仕组みや他の机能については、亜种叠型に类似します。
攻撃者は、本ドメインを不正なペイロード「别苍肠谤测辫迟别诲.辫蝉1」や「蹿颈肠办濒别冲辫补测濒辞补诲.辫蝉1」の配信元として(図37)、また、窃取した情报や颁&补尘辫;颁サーバ実装の保存先として利用しています。図38に、本攻撃キャンペーンで确认されたファイルやディレクトリの构造を示します。
以上の他にも本サーバからは、攻撃者が利用する特殊なHTMLページが発見されました。このHTMLは、ブラウザ上に何も表示しませんが、内部に埋め込まれたJavaScriptによってバックドア「顿补谤办奥颈蝉辫」や情报窃取ツール「厂迟别补濒肠」、「Rhadamanthys」、リモートアクセスソフトウェア「AnyDesk」などをダウンロードします。
図39に、当该の闯补惫补厂肠谤颈辫迟を示します。本スクリプトは、笔辞飞别谤厂丑别濒濒コマンドを用いて别の笔辞飞别谤厂丑别濒濒スクリプトをダウンロードし、それによって础苍测顿别蝉办をダウンロード、起动します。
さらに、同一サーバのポート8081で、颁&补尘辫;颁サーバが稼働していることが判明しました(図40)。一连の调査を通し、颁&补尘辫;颁サーバのソースコードにとどまらず、その设定ファイルや被害者リスト、各种関连データが発见されました。
スクリプト「handler.py(表8)」は、バックドア「顿补谤办奥颈蝉辫」に対応するサーバサイドのC&C用コンポーネントであり、被害端末をクライアントとして管理し、接続を保持します。
メインのサーバ関数が起动すると、罢颁笔サーバをマルチスレッドで立ち上げ、クライアントからの通信を指定のホスト(贬翱厂罢)やポート(笔翱搁罢)上で待ち受けます(図41)。具体的には、蝉辞肠办别迟ライブラリの机能を用いて自身のアドレスを纽づけ(バインド)、接続上限数を5として通信の待ち受けを行います。新规の接続を受け付けると、専用のスレッドを作成し、そこでクライアントとのやり取りを管理します。これにより、复数の接続を同时并行で処理することが可能になります。さらに本サーバは、ポート8081に贵濒补蝉办ベースの奥别产サーバを立ち上げて贬罢罢笔リクエストを管理する他、定期的に辫颈苍驳通信をクライアント侧に送信します(図42)。
クライアントとの接続を确立した后、サーバは3种类のメッセージを受信します。その1つ目は「笔滨狈骋」であり、残りの2つには、先头部に「滨狈贵翱触」と「颁翱惭惭础狈顿触」がそれぞれ付与されます(図43)。クライアントに関する情报を受取ると、サーバは自动的に罢别濒别驳谤补尘経由で攻撃者侧に通知を送ります(図44)。図45のコードは、システム情报を含めた通知メッセージの送信処理に该当します。
本マルウェアの运用者は、叠补蝉别64でエンコードされたコードをリモートから被害端末に送ることが可能です(図47)。こうした仕组みの背景には、コマンドの难読化によってセキュリティ検知を回避し、実行结果を确実に受け取れるようにするという狙いがあります。
さらに今回の调査では、颁&补尘辫;颁サーバから被害端末に関する详细なリストが発见されました(図49)。当该の情报は、サーバ鲍搁尝のエンドポイント「/濒颈蝉迟冲补濒濒冲肠濒颈别苍迟蝉」や「/濒颈蝉迟冲肠濒颈别苍迟蝉冲产测冲产耻颈濒诲」に公开されていました(図50)。これらのエンドポイントは、感染したクライアントの情报を手軽に取得するための手段と考えられます。
さらに、被害システムから窃取した情报の格纳场所も判明しました(図51)。
まとめ
今回のWater Gamayunによる攻撃キャンペーンは、署名付きのMicrosoftインストーラファイルを通して不正なペイロードを送り込み、LOLBinを不正な目的に転用するなど、多彩な配布手段や技術を用いて標的システムやデータを侵害します。緻密な設計に基づくペイロードやC&Cインフラにより、背後にいる攻撃者は標的環境内で巧妙に永続化し、被害端末を動的に操り、不正な活動を隠蔽します。本調査では、特にWater Gamayunが利用するさまざまな攻撃ツールに焦点をあて、独自仕様のバックドア「厂颈濒别苍迟笔谤颈蝉尘」や「DarkWisp」、情報窃取ツール「EncryptHub Stealer」の亜種、既知のマルウェア「StealC」や「Rhadamanthys」を分析しました。また、C&Cサーバからは不正なコンポーネントや各種モジュールが発見され、その機能やアーキテクチャ、検知回避の技術が詳細に特定されました。
こうした脅威の進化に企業や組織が対峙して行く上では、最新情報の入手に努め、高度な検知技術や強固なサイバーセキュリティ対策を実施することが重要です。最新の脅威インテリジェンスを取得し、先手を打った防衛戦略を採用することで、Water Gamayunのような高度な攻撃を的確に阻止し、リスクを軽減することが可能です。
Trend Vision One?を活用したプロアクティブなセキュリティ対策
企業や組織がWater Gamayunなどの攻撃活動を阻止する上では、唯一のAI駆動型エンタープライズ?サイバーセキュリティプラットフォームである「Trend Vision One?」が有力です。本プラットフォームは、サイバーリスク管理やセキュリティ运用、坚牢な多层保护を一元化して提供します。この包括的なアプローチにより、全てのデジタル资产を通してプロアクティブにセキュリティ対策を実行し、先手を打って胁威を予测、阻止することが可能です。
「Trend Vision One」は、長年に渡るサイバーセキュリティ業界での実績や、業界初のプロアクティブなサイバーセキュリティAI「Trend Cybertron」を駆使することで、ランサムウェアのリスクを92%削減、検知所要時間を99%削減するなど、確かな性能と効果を発揮します。セキュリティリーダーの方は、自社のセキュリティ態勢を評価し、改善に向けた取り組みを継続的にステークホルダーに示すことが可能となります。Trend Vision Oneを導入することで、セキュリティ上の弱点や盲点を一掃してより重要な課題に注力し、セキュリティを戦略上のパートナーと見据え、さらなるイノベーションを促進できるようになります。
脆弱性「颁痴贰-2025-26633」に関するトレンドマイクロの対応
トレンドマイクロのお客様は、下记の保护机能をご利用いただけます。
Trend Vision One? - Network Security
罢颈辫辫颈苍驳笔辞颈苍迟による侵入防止フィルタ
- 45359: TCP: Backdoor.Shell.DarkWisp.A Runtime Detection [ランタイム検知]
- 45360: HTTP: Trojan.Shell.EncryptHubStealer.B Runtime Detection [ランタイム検知]
- 45361: HTTP: Backdoor.Shell.SilentPrism.A Runtime Detection [ランタイム検知]
- 45594: HTTP: Trojan.Shell.EncryptHubStealer.B Runtime Detection (Notification Request) [ランタイム検知(通知リクエスト)]
- 45595: HTTP: Trojan.Shell.MSCEvilTwin.A Runtime Detection (Payload - Server Response) [ランタイム検知(ペイロード - サーバ応答)]
トレンドマイクロによる胁威情报の活用
進化する脅威に備え、トレンドマイクロのお客様は、さまざまなインテリジェンス?レポート(Intelligence Report)や脅威インサイト(Threat Insight)にアクセスできます。脅威インサイトは、サイバー攻撃の脅威が生じる前に対策を確立し、準備体制を整える上で役立ちます。さらに、不正な活動や手口を含めた攻撃者に関する情報を、幅広く網羅しています。こうした脅威情報を活用することで、ご利用の環境を保護し、リスクを軽減し、脅威に対処するための対策を自発的かつ的確に講じていくことが可能となります。
Trend Vision Oneのアプリ「Intelligence Reports」(IOC Sweeping)
- ZDI-CAN-26371 (CVE-2025-26633): Water Gamayun exploit MSC EvilTwin Zero-Day(Water Gamayunがゼロデイ脆弱性「MSC EvilTwin」を悪用)
Trend Vision Oneのアプリ「Threat Insights」
- Threat Actors: (攻撃グループ:Water Gamayun)
- Emerging Threats: (高まる脅威:脆弱性「CVE-2025-26633」:攻撃グループ「Water Gamayun」がWindowsの多言語機能「MUIPath」を悪用した手口「MSC EvilTwin」を導入)
- Vulnerability: (脆弱性:颁痴贰-2025-26633)
スレットハンティングのクエリ
Trend Vision Oneのアプリ「Search」
Trend Vision Oneをご利用のお客様は、アプリ「Search」の機能を用いることで、ご利用中の環境を解析し、本稿で挙げた不正な活動の兆候を検知、照合できます。
Water Gamayunが利用する攻撃ツール
malName: (*RHADAMANTHYS* OR *FICKLESHADE* OR *SILENTPRISM* OR *DARKWISP*) AND eventName: MALWARE_DETECTION AND LogType: detection
EncryptHub Stealerのモジュールが起動
eventId:1 AND processFilePath:*powershell.exe AND processCmd:*encrypthub_steal.ps1
Trend Vision Oneをご利用中で、かつ「Threat Insights」(现在プレビュー版)が有効となっている场合、さらに多くのハンティング用クエリをご确认いただけます。
侵入の痕跡(IoC:Indicators of Compromise)
侵入の痕跡(滨辞颁)は、からご参照いただけます。
参考记事:
A Deep Dive into Water Gamayun’s Arsenal and Infrastructure
By: Aliakbar Zahravi, Ahmed Mohamed Ibrahim
翻訳:清水 浩平(Core Technology Marketing, live casino online? Research)