СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Реклама Политика ПДн
Отчеты
Технологии киберугроз
26 ноября
#ИБ

Анализ кампании Water Gamayun: эксплуатация CVE-2025-26633 через MMC

Недавний анализ многоэтапной кибератаки, которую исследователи связывают с APT-группировкой Water Gamayun, выявил сочетание технических приемов и социальной инженерии, позволивших злоумышленникам добиться долговременного доступа и эксфильтрации данных. В центре кампании — эксплуатация уязвимости в Windows MMC и использование доверенных бинарных прокси-сервисов для маскировки вредоносной активности.

Как развивалась атака: поэтапная реконструкция

  • Первичное нарушение: злоумышленники получили доступ через взлом легитимного веб-сайта и создание домена-двойника (typo-squatting), что использовалось для распространения вредоносных загрузок.
  • Загрузка вредоносного файла: нацеленным пользователям предоставляли RAR-архив с двойным расширением, замаскированный под PDF, а внутри — password-protected архив и поддельный документ для сохранения иллюзии легитимности.
  • Эксплуатация уязвимости: ключевым элементом стала уязвимость Windows MMC — CVE-2025-26633, позволившая внедрять вредоносный код в легитимный процесс mmc.exe.
  • Выполнение скрытых payload’ов: через скомпрометированный mmc.exe запускались скрытые PowerShell-скрипты, что усложняло детектирование атаки со стороны пользователя и средств защиты.
  • Укрепление присутствия: злоумышленники разворачивали пользовательские RAT для долговременного закрепления, сбора учетных данных и эксфильтрации конфиденциальной информации.

Технические методы маскировки и обхода

Аналитики отмечают несколько характерных приемов, которые обеспечивали успешность кампании:

  • использование файлов с вводящими в заблуждение расширениями (двойное расширение RAR → .PDF);
  • защищенные паролем архивы для затруднения анализа и автоматического сканирования;
  • внедрение вредоносного кода в доверенные процессы (trusted binary proxy execution) через mmc.exe;
  • скрытые PowerShell-скрипты, запускаемые из-под легитимных бинарников;
  • небольшой .NET class, используемый для скрытия процессов и усложнения трассировки;
  • обфускация сигнатур и двухсторонняя инфраструктура командно‑контрольных каналов;
  • социальная инженерия для повышения вероятности исполнения вредоносного контента пользователем.

«Реконструкция, предоставленная командой Zscaler, выявила сложную схему атак, где злоумышленники используют команды MMC для инициирования следующих этапов вредоносной активности, применяя многоуровневые методы запутывания», — отмечают аналитики Zscaler.

Кто стоит за атакой и какие цели

Исследователи указывают, что Water Gamayun — вероятная российская APT-группировка, специализирующаяся на скрытых кампаниях по сбору разведывательных и конфиденциальных данных. Основные цели группы:

  • правительственные организации;
  • корпоративные сети с доступом к критически важной информации;
  • сбор учетных записей и интеллектуальной собственности.

В тактике группы заметен акцент на эксфильтрации данных, длительном присутствии в сети жертвы и использовании кастомных RAT. За последний год Water Gamayun усилила применение zero-day уязвимостей и доверенных двоичных прокси‑механизмов для обхода современных средств защиты.

Индикаторы компрометации (IoC) и ключевые наблюдения

  • файлы с двойным расширением вроде document.pdf.rar или аналогичные; наличие password-protected архивов;
  • необъяснимое выполнение mmc.exe с необычными параметрами или дочерними процессами, запускающими PowerShell;
  • сетевые соединения к недавно зарегистрированным или подозрительным доменам, особенно при доступе к ресурсам, имитирующим легитимные сайты;
  • процессы или библиотеки, загруженные нестандартными .NET-классами для сокрытия активности;
  • повторяющиеся TTP, сопоставимые с ранее зафиксированными кампаниями Water Gamayun (обфускация, двухсторонняя инфраструктура, использование RAT).

Рекомендации для защиты и обнаружения

На основе выводов аналитиков Zscaler и общих практик кибербезопасности следует рекомендовать организациям следующие меры:

  • усилить фильтрацию почтовых вложений и проверку расширений файлов (обращать внимание на двойные расширения и password-protected архивы);
  • мониторить запуск mmc.exe и связанные с ним дочерние процессы, в том числе вызовы PowerShell; внедрить поведенческий мониторинг доверенных бинарников;
  • анализировать сетевой трафик на предмет соединений с подозрительными или недавно зарегистрированными доменами; использовать threat intelligence, включая сигнатуры, предоставленные Zscaler;
  • внедрять сегментацию сети и принцип наименьших привилегий для снижения последствий возможного компромета;
  • обучать пользователей распознавать поддельные документы и фишинговые посадочные страницы, а также правила безопасного обращения с архивами и вложениями;
  • регулярно обновлять системы и применять исправления для уязвимостей (включая патчи, закрывающие CVE-2025-26633 и другие известные недуги).

Вывод

Кампания, приписываемая Water Gamayun, демонстрирует рост зрелости APT-групп в использовании сочетания эксплуатаций zero-day, доверенных бинарных прокси и сложной социальной инженерии для обхода средств защиты. Аналитика Zscaler подчеркивает важность интегрированного подхода: контроль загрузок и расширений файлов, мониторинг поведения доверенных процессов и активное использование threat intelligence для упреждающего обнаружения схожих атак.

Организациям рекомендуется пересмотреть текущие процессы детектирования и реагирования, уделив особое внимание сигналам, связанным с mmc.exe и скрытым выполнением PowerShell.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз (бренд RST Cloud Russia) – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: