APT-группа Water Gamayun использует уязвимость Windows MMC в многоэтапной атаке

Компрометация начиналась с использования скомпрометированного легитимного сайта в tandem с доменом-двойником. Жертвам под видом PDF-документа доставлялся RAR-архив с двойным расширением, что злоупотребляло доверием пользователей. Изначальная полезная нагрузка эксплуатировала уязвимость MSC EvilTwin (CVE-2025-26633) для инъекции кода в процесс mmc.exe, используя команды TaskPad snap-in для запуска серии скрытых PowerShell-этапов.

Сложная многослойная обфускация, парольная защита архивов и скрытие процессов через небольшой .NET-класс минимизировали обнаружение, тогда как документ-приманка сохранял у пользователя восприятие нормального взаимодействия. Атрибуция кампании к Water Gamayun была выполнена с высокой уверенностью на основе тактик, техник и процедур, соответствующих публичным отчетам, включая уникальную эксплуатацию MSC EvilTwin, характерные шаблоны обфускации, двухпутевой дизайн инфраструктуры и специфические темы социальной инженерии.

Water Gamayun представляет собой российско-ориентированную APT-группу, известную таргетированием корпоративных и государственных сетей с помощью скрытных кампаний по хищению информации. Их цели традиционно включают эксфильтрацию конфиденциальных данных, сбор учетных данных и долгосрочное сохранение присутствия через бэкдоры и пользовательские RAT (Remote Access Trojan). За последний год группа усовершенствовала портфолио техник, сочетающих эксплуатацию уязвимостей нулевого дня, прокси-исполнение через доверенные бинарные файлы и многослойную обфускацию PowerShell для обхода современных систем безопасности.

Недавно обнаруженная кампания началась с обычного поиска в Bing по запросу "belay", который приводил на belaysolutions[.]com. Веб-сайт был потенциально инжектирован JavaScript, выполняющим тихую переадресацию на belaysolutions[.]link, где размещался архив с двойным расширением. Открытие Hiring_assistant.pdf.rar приводило к сбросу .msc файла, который при запуске инициировал цепочку скрытых PowerShell-скриптов.

Первый этап PowerShell декодировался через -EncodedCommand, загружал UnRAR.exe и пароль-защищенный RAR, извлекал следующий этап, затем выполнял Invoke-Expression на извлеченном скрипте. Второй PowerShell-скрипт компилировал C# класс WinHpXN для скрытия консольных окон, отображал PDF-приманку и многократно исполнял финальный загрузчик ItunesC.exe для обеспечения устойчивости. Финальная полезная нагрузка устанавливала бэкдоры или стилеры, при этом точное семейство вредоносного программного обеспечения осталось неподтвержденным из-за неработоспособности инфраструктуры командования и управления.

Мотивы Water Gamayun включают стратегический сбор разведданных против организаций высокой коммерческой или геополитической ценности, кражу учетных данных для дальнейшей компрометации и долгосрочное сохранение присутствия через кастомные бэкдоры. Их операции характеризуются эксплуатацией новых уязвимостей, прокси-исполнением через доверенные бинарные файлы Windows, сложными цепочками обфускации и высокими стандартами операционной безопасности.

Атрибуция Zscaler Threat Hunting основывалась на нескольких сходящихся линиях доказательств. Эксплуатация MSC EvilTwin через CVE-2025-26633 представляет редкий вектор атаки, последовательно связываемый с кампаниями Water Gamayun. Характерная обфускация PowerShell с вложенным Base64 UTF-16LE и заменой подчеркиваний точно соответствовала документально подтвержденным скриптам группы. Скрытие процессов через вызов Win32 API ShowWindow и использование минимального .NET-класса WinHpXN прямо соответствовало предыдущим методам группы.

Инфраструктурные паттерны, включающие размещение всех полезных нагрузок на одном IP-адресе с двумя рандомизированными префиксами путей, соответствовали двухпутевой архитектуре C2, наблюдаемой в прошлых кампаниях. Социальная инженерия с использованием темы найма и брендинга iTunesC, а также сложные 21-символьные пароли архивов полностью соответствовали операционному профилю группы.

Zscaler Threat Hunting обеспечивает проактивное обнаружение угроз через комбинацию глобальной телеметрии, продвинутой аналитики и опыта аналитиков. Платформа Zero Trust Exchange обрабатывает каждое пользовательское подключение, обеспечивая непревзойденную видимость веб-трафика, SSL-потоков и облачной активности. Аналитики активно охотятся за новыми TTP противников, руководствуясь разведданными об угрозах и обогащенным обнаружением аномалий.

Для противодействия подобным атакам рекомендуется мониторинг быстрого извлечения архивов из временных каталогов с последующим немедленным запуском процессов, особенно когда родительским процессом является mmc.exe. Следует внедрять политики SSL-инспекции для выявления доменов-двойников и подозрительных переадресаций с легитимных сайтов. Файлы с двойным расширением должны помечаться как высокорисковые с обязательной детонацией в песочнице.

Критически важно обнаруживать использование флага -EncodedCommand в сочетании с UTF-16LE Base64 кодированием, несвойственным легитимным рабочим процессам. Следует отслеживать характерные шаблоны обфускации через замену подчеркиваний и выполнение Invoke-Expression сразу после операций Base64 декодирования. Мониторинг сетевых подключений от процессов из временных каталогов к внешним IP-адресам, особенно при загрузке исполняемых инструментов и пароль-защищенных архивов, помогает выявить компрометацию на ранних этапах.

IPv4

• 103.246.147.17

Domains

• belaysolutions.com
• belaysolutions.link

MD5

• 97e4a6cbe8bda4c08c868f7bcf801373
• ba25573c5629cbc81c717e2810ea5afc
• caaaef4cf9cf8e9312da1a2a090f8a2c
• e4b6c675f33796b6cf4d930d7ad31f95
• f3d83363ea68c707021bde0870121177
• f645558e8e7d5e4f728020af6985dd3f