Water Gamayun 그룹의 CVE-2025-26633 악용과 SilentPrism, DarkWisp 백도어 배포 분석

Russian Hackers Exploit CVE-2025-26633 via MSC EvilTwin to Deploy SilentPrism and DarkWisp

 

• 개요
  • 러시아 연계 위협 그룹 Water Gamayun(EncryptHub, LARVA-208)이 Windows MMC 취약점(CVE-2025-26633, MSC EvilTwin)을 악용하여 SilentPrism, DarkWisp 백도어를 포함한 맞춤형 정보탈취 악성코드 배포
  • 악성 .msc 파일과 서명된 .msi 설치파일, PowerShell 스크립트를 이용한 다단계 공격 체계 형성
• 악성코드 배포 흐름 및 기술
  • 공격 벡터
    • 악성 .msc 파일을 통해 MSC EvilTwin 취약점(CVE-2025-26633) 트리거
    • 서명된 .msi 파일로 위장한 설치파일(예: QQTalk, VooV Meeting 등)을 통해 초기 침투 수행
    • PowerShell 기반 로더를 이용해 후속 페이로드 배포 및 실행
  • 활용 도구
    • .ppkg (프로비저닝 패키지), .msi, .msc 파일 조합
    • IntelliJ 실행 바이너리인 runnerw.exe를 LOLBin(리빙 오프 더 랜드 바이너리)으로 악용하여 PowerShell 스크립트 실행
• SilentPrism 및 DarkWisp 백도어 분석
  • SilentPrism
    • PowerShell 기반 백도어로 시스템 명령 실행, 지속성 확보, 원격 제어 기능 제공
    • 동시 셸 명령 실행 및 분석 회피 기능 포함
  • DarkWisp
    • 시스템 정찰, 민감 정보 탈취, TCP 포트 8080을 통한 명령 수신 루프
    • 명령 포맷: COMMAND|<base64 인코딩된 명령>
    • 탐지 회피 및 지속적 명령 처리 루프 구현
• 추가 악성 페이로드 및 툴
  • MSC EvilTwin Loader
    • CVE-2025-26633을 무기로 삼아 Rhadamanthys Stealer 실행
    • 흔적 제거 기능 포함 (포렌식 회피)
  • EncryptHub Stealer (A/B/C Variant)
    • 오픈소스 Kematian Stealer 기반 맞춤형 악성코드
    • 기능: 브라우저 세션, VPN/FTP/메신저 크리덴셜 탈취, 시스템 정보 수집, Wi-Fi 키, 클립보드 이력, 암호화폐 키워드 검색
  • 기타 악성코드
    • Lumma Stealer, Amadey, 클리퍼형 악성코드 등도 동시 유포
    • AnyDesk 다운로드 및 원격제어용 PowerShell 스크립트 사용
• 인프라 및 지속성 기술
  • C2 인프라
    • 주요 C2 IP: 82.115.223[.]182
    • Base64 인코딩된 명령을 통한 지속적 명령 통신
  • 지속성 확보
    • MSI를 통한 초기 접근 후 PowerShell 기반 백도어 상주화
    • 시스템 내 AnyDesk 등 리모트 관리툴 설치로 재접속 통로 확보
• 취약점 세부(CVE-2025-26633)
  • Microsoft Management Console(MMC) 프레임워크 내 악성 .msc 파일 실행을 통한 원격 코드 실행(RCE)
  • 최근 패치가 이루어졌으나 제로데이 악용 정황 확인됨
• 결론
  • Water Gamayun은 악성코드 제작, 유포, 은폐, 지속성 유지까지 일련의 공격 체계를 복합적으로 구성하여 고도화된 스파이 행위를 수행
  • PowerShell 기반 백도어와 MSC EvilTwin 취약점을 조합한 이번 공격은 보안 제품 우회를 목표로 하며, 맞춤형 정보탈취 기능을 통해 광범위한 데이터 수집 수행
  • 기업 및 기관은 서명된 설치파일, PowerShell 명령 실행, .msc 파일 사용에 대한 모니터링 및 차단 정책 수립 필요