RustyWater RAT
Íránsky napojený aktér hrozby, běžně známý jako MuddyWater, byl přičítán nové phishingové kampani zaměřené na diplomatické, námořní, finanční a telekomunikační organizace na celém Blízkém východě. Aktivita se soustředí na implantát založený na platformě Rusty s názvem RustyWater, což představuje další krok v stabilním vývoji skupiny směrem k malwaru vytvářenému na míru.
Skupina MuddyWater, sledovaná také pod názvy Mango Sandstorm, Static Kitten a TA450, je všeobecně považována za skupinu, která působí jménem íránského ministerstva zpravodajských služeb a bezpečnosti (MOIS). Skupina je aktivní nejméně od roku 2017 a trvale se zaměřuje na cíle v regionální vládě a soukromém sektoru.
Obsah
Vektor infekce: Dokumenty zneužité jako zbraně a vizuální klam
Řetězec útoku je relativně jednoduchý, ale účinný. Oběti dostávají phishingové e-maily, které vypadají jako oficiální pokyny pro kybernetickou bezpečnost. Tyto zprávy obsahují škodlivou přílohu v podobě aplikace Microsoft Word, která využívá falšování ikon, aby vypadala legitimně.
Po otevření dokumentu je uživatel vyzván k volbě „Povolit obsah“. Přijetí tohoto požadavku spustí škodlivé makro VBA, které odstraní a spustí datovou část založenou na platformě Rust. Tento krok sociálního inženýrství je i nadále klíčový pro úspěch kampaně.
Možnosti malwaru: Uvnitř implantátu RustyWater
RustyWater, známý také jako Archer RAT nebo RUSTRIC, funguje jako modulární trojský kůň pro vzdálený přístup, navržený pro nenápadnost a flexibilitu. Po nasazení shromažďuje podrobné informace o infikovaném systému, kontroluje nainstalované bezpečnostní produkty a zajišťuje trvalost pomocí klíče registru Windows.
Implantát poté zahájí komunikaci s velitelským a řídicím serverem na adrese „nomercys.it[.]com“, což umožňuje asynchronní interakci. Prostřednictvím tohoto kanálu mohou operátoři spouštět příkazy, spravovat soubory a rozšiřovat funkčnost pomocí dalších modulů, což podporuje dlouhodobé operace po kompromitaci.
Vývoj řemesel: Od života z půdy k výrobě nástrojů na zakázku
Historicky se MuddyWater silně spoléhala na zavaděče PowerShellu a VBS spolu s legitimními nástroji pro vzdálený přístup, a to jak pro provádění počátečního přístupu, tak i následných aktivit. Postupem času skupina tuto závislost záměrně omezila ve prospěch rostoucího portfolia malwaru na míru.
Tento ekosystém na míru zahrnuje nástroje jako Phoenix, UDPGangster, BugSleep (také nazývaný MuddyRot) a MuddyViper. Zavedení implantátů založených na technologii Rust odráží posun směrem ke strukturovanějším, modulárnějším a tišším funkcím, které je obtížnější analyzovat a detekovat.
Širší aktivity: RUSTRIC Za hranicemi Blízkého východu
Koncem prosince 2025 vědci informovali o použití škodlivého frakce RUSTRIC v související sérii útoků zaměřených na firmy informačních technologií, poskytovatele spravovaných služeb, personální oddělení a společnosti zabývající se vývojem softwaru v Izraeli. Tato skupina aktivit je sledována jako UNG0801 a operace IconCat.
Tato zjištění podtrhují, že RustyWater není izolovaným experimentem, ale aktivní součástí rozšiřující se sady útočných nástrojů MuddyWater.
Strategické důsledky: Zralejší protivník
Vznik malwaru RustyWater zdůrazňuje pokračující investice společnosti MuddyWater do malwaru určeného pro perzistenci, modulární rozšiřování a obcházení. Tento vývoj signalizuje vyspělejší operační přístup s nástroji, které podporují tišší a dlouhodobější přístup spíše než zjevnou aktivitu s velkým množstvím skriptů.
Pro obránce tento vývoj posiluje potřebu zkoumat phishingové útoky založené na dokumentech, monitorovat mechanismy perzistence založené na registrech a pečlivě kontrolovat neobvyklá odchozí připojení, zejména ta spojená s nově pozorovanými malwarovými rodinami Rust.
