RustyWater RAT
Свързаният с Иран злонамерен софтуер, известен като MuddyWater, е обвинен в нова фишинг кампания, насочена към дипломатически, морски, финансови и телекомуникационни организации в Близкия изток. Дейността е съсредоточена върху имплант, базиран на Rust, наречен RustyWater, което бележи още една стъпка в стабилната еволюция на групата към персонализиран зловреден софтуер.
Проследявана още под имената Mango Sandstorm, Static Kitten и TA450, MuddyWater е широко призната за действаща от името на Министерството на разузнаването и сигурността (MOIS) на Иран. Групировката е активна поне от 2017 г. и поддържа постоянен фокус върху цели на регионалното правителство и частния сектор.
Съдържание
Вектор на заразяване: Документи, използвани като оръжие, и визуална измама
Веригата за атака е сравнително проста, но ефективна. Жертвите получават фишинг имейли, създадени така, че да изглеждат като официални насоки за киберсигурност. Тези съобщения съдържат злонамерен прикачен файл на Microsoft Word, който използва подправяне на икони, за да изглежда легитимен.
Когато документът бъде отворен, потребителят бива подканен да „Активира съдържанието“. Приемането на тази заявка задейства злонамерен VBA макрос, който премахва и изпълнява полезния товар, базиран на Rust. Тази стъпка в социалното инженерство остава критична за успеха на кампанията.
Възможности за зловреден софтуер: Вътре в импланта RustyWater
RustyWater, известен още като Archer RAT или RUSTRIC, функционира като модулен троянски кон за отдалечен достъп, проектиран за скритост и гъвкавост. След внедряването си, той събира подробна информация за заразената система, проверява за инсталирани продукти за сигурност и установява устойчивост чрез ключ в системния регистър на Windows.
След това имплантът инициира комуникация със сървър за командно-контролен контрол на адрес „nomercys.it[.]com“, което позволява асинхронно взаимодействие. Чрез този канал операторите могат да изпълняват команди, да управляват файлове и да разширяват функционалността чрез допълнителни модули, поддържайки дългосрочни операции след компрометиране.
Еволюция на занаятчийството: От живот от земята до персонализирани инструменти
В исторически план MuddyWater разчиташе предимно на PowerShell и VBS loaders, заедно с легитимни инструменти за отдалечен достъп, за да осъществява както първоначален достъп, така и последваща дейност. С течение на времето групата умишлено намали тази зависимост в полза на нарастващо портфолио от специализиран зловреден софтуер.
Тази персонализирана екосистема включва инструменти като Phoenix, UDPGangster, BugSleep (наричан още MuddyRot) и MuddyViper. Въвеждането на импланти, базирани на Rust, отразява преминаването към по-структурирани, модулни и по-нискошумови възможности, които са по-трудни за анализ и откриване.
По-широка дейност: RUSTRIC Отвъд Близкия изток
В края на декември 2025 г. изследователи съобщиха за използването на RUSTRIC в свързан набор от прониквания, насочени към фирми за информационни технологии, доставчици на управлявани услуги, отдели за човешки ресурси и компании за разработка на софтуер в Израел. Този клъстер от дейности се проследява като UNG0801 и операция IconCat.
Тези открития подчертават, че RustyWater не е изолиран експеримент, а активен компонент от разширяващия се набор от офанзивни инструменти на MuddyWater.
Стратегически последици: По-зрял противник
Появата на RustyWater подчертава продължаващите инвестиции на MuddyWater в специално разработен зловреден софтуер, предназначен за постоянство, модулно разширяване и избягване. Тази прогресия сигнализира за по-зряла оперативна позиция, с инструменти, които поддържат по-тих, дългосрочен достъп, а не явна, изпълнена със скриптове дейност.
За защитниците тази еволюция засилва необходимостта от внимателно проучване на фишинг примамките, базирани на документи, наблюдение на механизмите за постоянство, базирани на системния регистър, и внимателно проучване на необичайни изходящи връзки, особено тези, свързани с новооткрити семейства злонамерен софтуер Rust.
