RustyWater RAT

גורם האיום המקושר לאיראן, הידוע בכינויו MuddyWater, יוחס לקמפיין פישינג חדש שמטרתו הייתה לארגונים דיפלומטיים, ימיים, פיננסיים ותקשורת ברחבי המזרח התיכון. הפעילות מתמקדת בשתל מבוסס Rust בשם RustyWater, המסמן צעד נוסף בהתפתחות המתמדת של הקבוצה לעבר תוכנות זדוניות בהתאמה אישית.

MuddyWater, המנוהלת גם תחת השמות Mango Sandstorm, Static Kitten ו-TA450, מוערכת באופן נרחב כפעילה מטעם משרד המודיעין והביטחון האיראני (MOIS). הקבוצה פעילה מאז 2017 לפחות ומתמקדת באופן עקבי במטרות של ממשלה אזורית והמגזר הפרטי.

וקטור זיהום: מסמכים חמושים והונאה חזותית

שרשרת ההתקפה פשוטה יחסית אך יעילה. הקורבנות מקבלים הודעות דוא"ל של פישינג שנועדו להיראות כמו הנחיות רשמיות לאבטחת סייבר. הודעות אלו מכילות קובץ מצורף זדוני של Microsoft Word, המנצל זיוף סמלים כדי להיראות לגיטימי.

כאשר המסמך נפתח, המשתמש מתבקש 'להפעיל תוכן'. קבלת בקשה זו מפעילה מאקרו VBA זדוני אשר מוחק ומפעיל את המטען מבוסס-Rust. שלב הנדסה חברתית זה נותר קריטי להצלחת הקמפיין.

יכולות תוכנות זדוניות: בתוך שתל RustyWater

RustyWater, הידוע גם בשם Archer RAT או RUSTRIC, מתפקד כסוס טרויאני מודולרי לגישה מרחוק שנועד לספק חמקנות וגמישות. לאחר הפריסה, הוא אוסף מידע מפורט על המערכת הנגועה, בודק מוצרי אבטחה מותקנים ויוצר נוכחות באמצעות מפתח רישום של Windows.

לאחר מכן, השתל יוזם תקשורת עם שרת פיקוד ובקרה בכתובת 'nomercys.it[.]com', מה שמאפשר אינטראקציה אסינכרונית. דרך ערוץ זה, מפעילים יכולים לבצע פקודות, לנהל קבצים ולהרחיב פונקציונליות באמצעות מודולים נוספים, התומכים בפעולות ארוכות טווח לאחר פגיעה.

אבולוציה של מלאכת יד: מחיים מהאדמה ועד כלי עבודה בהתאמה אישית

מבחינה היסטורית, MuddyWater הסתמכה במידה רבה על PowerShell ו-VBS, יחד עם כלי גישה מרחוק לגיטימיים, הן לביצוע גישה ראשונית והן לפעילות המשך. עם הזמן, הקבוצה צמצמה במכוון תלות זו לטובת תיק הולך וגדל של תוכנות זדוניות בהתאמה אישית.

מערכת אקולוגית מותאמת אישית זו כוללת כלים כגון Phoenix, UDPGangster, BugSleep (הנקראת גם MuddyRot) ו-MuddyViper. אימוץ שתלים מבוססי Rust משקף מעבר ליכולות מובנות, מודולריות ובעלות רעש נמוך יותר, שקשה יותר לנתח ולזהות.

פעילות רחבה יותר: RUSTRIC מעבר למזרח התיכון

בסוף דצמבר 2025, דיווחו חוקרים על שימוש ב-RUSTRIC במסגרת סדרה קשורה של חדירות המכוונות לחברות טכנולוגיית מידע, ספקי שירותים מנוהלים, מחלקות משאבי אנוש וחברות פיתוח תוכנה בישראל. קבוצת פעילויות זו מתוארת כ-UNG0801 ומבצע IconCat.

ממצאים אלה מדגישים כי RustyWater אינו ניסוי בודד אלא מרכיב פעיל בערכת הכלים ההתקפית המתרחבת של MuddyWater.

השלכות אסטרטגיות: יריב בוגר יותר

הופעתה של RustyWater מדגישה את ההשקעה המתמשכת של MuddyWater בתוכנות זדוניות ייעודיות שנועדו להתמדה, להתרחבות מודולרית ולהתחמקות. התקדמות זו מאותתת על תנוחה תפעולית בוגרת יותר, עם כלים התומכים בגישה שקטה וארוכת טווח יותר במקום פעילות גלויה וכבדה של סקריפטים.

עבור מגיני מערכות, התפתחות זו מחזקת את הצורך לבחון בקפידה פיתויי פישינג מבוססי מסמכים, לנטר מנגנוני התמדה מבוססי רישום ולבחון מקרוב חיבורים יוצאים יוצאי דופן, במיוחד אלו הקשורים למשפחות תוכנות זדוניות של Rust שנצפתו לאחרונה.