СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
30.03.2025
#Dev#ИБ#Инфра

Уязвимость нулевого дня: Water Gamayun и его угрозы

Уязвимость нулевого дня: Water Gamayun и его угрозы

Источник: www.trendmicro.com

Недавний отчет о киберугрозах вновь подтвердил активность российской хакерской группы Water Gamayun, которая использует уязвимость нулевого дня в платформе Microsoft Management Console Framework (CVE-2025-26633) для осуществления атак на целевые системы. Группа применяет различные подходы для доставки вредоносного ПО, выполнения кода и утечки конфиденциальных данных, подчеркивая свою адаптивность и инновационные методы ведения кибервойны.

Методы эксплуатации уязвимости

Water Gamayun использует многоуровневую стратегию для атак, в которую входят:

  • Доставка вредоносных пакетов с помощью подписанных msi-файлов и файлов Windows MSC;
  • Использование пользовательской полезной нагрузки;
  • Запуск команд PowerShell через IntelliJ process launcher (runnerw.exe).

Такой подход демонстрирует высокую степень адаптивности исполнителя, который умеет применять законные инструменты для достижения своих целей.

Арсенал вредоносных программ

Группа владеет разнообразным арсеналом вредоносного ПО, среди которого выделяются:

  • SilentPrism — бэкдор, который стабильно работает, используя изменения реестра и запланированные задачи для сохранения контроля;
  • DarkWisp — новый бэкдор на базе PowerShell, который собирает системную информацию и передает ее на сервер C&C.

Сбор и утечка данных

Water Gamayun активно использует различные версии программы EncryptHub Stealer, которая модифицирована на основе Kematian Stealer. Основные функции этого ПО направлены на:

  • Сбор конфиденциальной информации: паролей, буфера обмена и конфигураций программ;
  • Доставку вредоносных данных с использованием MSI-пакетов и исполняемых дропперов.

Адаптация инфраструктуры и методов

Недавно Water Gamayun перенес свою инфраструктуру C&C в динамические домены, такие как 82.115.223.182, меняя серверы для избежания обнаружения. Разработка вредоносного ПО также демонстрирует значительные изменения в функциональности:

  • Использование методов обфускации для уклонения от анализа;
  • Обновленный шифровальщик EncryptHub Stealer variant C, который загружает данные напрямую на жестко запрограммированный сервер по протоколу HTTPS.

Таким образом, активность группы Water Gamayun вызывает серьезные опасения в сфере кибербезопасности. Их инновационные методы и адаптивность свидетельствуют о продолжающейся эволюции киберугроз, что требует внимания со стороны специалистов по безопасности и организаций.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: