RustyWater RAT
Az Iránhoz köthető MuddyWater néven ismert fenyegetést egy új, a Közel-Keleten diplomáciai, tengerészeti, pénzügyi és telekommunikációs szervezeteket célzó adathalász kampánnyal hozták összefüggésbe. A tevékenység középpontjában egy Rust-alapú, RustyWater nevű implantátum áll, amely újabb lépést jelent a csoport folyamatos fejlődésében az egyedi fejlesztésű rosszindulatú programok felé.
A Mango Sandstorm, Static Kitten és TA450 néven is jegyzett MuddyWaterről széles körben úgy tartják, hogy az iráni hírszerzési és biztonsági minisztérium (MOIS) megbízásából működik. A csoport legalább 2017 óta aktív, és továbbra is regionális kormányzati és magánszektorbeli célpontokra összpontosít.
Tartalomjegyzék
Fertőzésvektor: Fegyverré tett dokumentumok és vizuális megtévesztés
A támadási lánc viszonylag egyszerű, de hatékony. Az áldozatok adathalász e-maileket kapnak, amelyek hivatalos kiberbiztonsági útmutatónak tűnnek. Ezek az üzenetek egy rosszindulatú Microsoft Word mellékletet tartalmaznak, amely ikonhamisítást használ a legitimitás látszatának megőrzése érdekében.
A dokumentum megnyitásakor a felhasználót a rendszer kéri, hogy engedélyezze a tartalmat. A kérés elfogadása egy rosszindulatú VBA makrót indít el, amely eldobja és végrehajtja a Rust-alapú hasznos adatot. Ez a társadalmi manipuláción alapuló lépés továbbra is kritikus fontosságú a kampány sikere szempontjából.
Kártevő képességek: A RustyWater implantátum belsejében
A RustyWater, más néven Archer RAT vagy RUSTRIC, egy moduláris, távoli hozzáférést biztosító trójai vírus, amelyet a lopakodás és a rugalmasság jegyében terveztek. Telepítés után részletes információkat gyűjt a fertőzött rendszerről, ellenőrzi a telepített biztonsági termékeket, és egy Windows rendszerleíró kulcson keresztül létrehozza a vírus jelenlétét.
Az implantátum ezután kommunikációt kezdeményez egy parancs- és vezérlőszerverrel a „nomercys.it[.]com” címen, lehetővé téve az aszinkron interakciót. Ezen a csatornán keresztül az operátorok parancsokat hajthatnak végre, fájlokat kezelhetnek, és további modulokon keresztül bővíthetik a funkciókat, támogatva a kompromittálódás utáni hosszú távú műveleteket.
A Tradecraft evolúciója: a szabadban éléstől az egyedi szerszámkészítésig
A MuddyWater történelmileg nagymértékben támaszkodott a PowerShell és a VBS betöltőkre, valamint a legitim távoli hozzáférési eszközökre mind a kezdeti hozzáférés, mind a további tevékenységek végrehajtásához. Idővel a csoport szándékosan csökkentette ezt a függőséget a személyre szabott rosszindulatú programok egyre bővülő portfóliója javára.
Ez az egyedi ökoszisztéma olyan eszközöket tartalmaz, mint a Phoenix, az UDPGangster, a BugSleep (más néven MuddyRot) és a MuddyViper. A Rust-alapú implantátumok bevezetése a strukturáltabb, modulárisabb és alacsonyabb zajszintű képességek felé való elmozdulást tükrözi, amelyeket nehezebb elemezni és észlelni.
Szélesebb körű tevékenység: RUSTRIC a Közel-Keleten túl
2025 decemberének végén kutatók arról számoltak be, hogy a RUSTRIC titkosítást egy kapcsolódó behatolássorozatban használták, amely Izraelben informatikai cégeket, menedzselt szolgáltatókat, HR-osztályokat és szoftverfejlesztő cégeket célzott meg. Ezt a tevékenységi kört UNG0801 és IconCat hadműveletként követik nyomon.
Ezek az eredmények alátámasztják, hogy a RustyWater nem egy elszigetelt kísérlet, hanem a MuddyWater bővülő támadó eszköztárának aktív eleme.
Stratégiai következmények: Egy érettebb ellenfél
A RustyWater megjelenése rávilágít a MuddyWater folyamatos befektetéseire a célzottan fejlesztett, tartós, moduláris bővíthető és megkerülhető kártevőkbe. Ez a fejlődés egy érettebb működési helyzetet jelez, olyan eszközökkel, amelyek a nyílt, szkript-intenzív tevékenység helyett a csendesebb, hosszabb távú hozzáférést támogatják.
A védők számára ez a fejlemény megerősíti a dokumentumalapú adathalász csalik alapos vizsgálatának, a beállításjegyzék-alapú adatvédelmi mechanizmusok monitorozásának és a szokatlan kimenő kapcsolatok, különösen az újonnan megfigyelt Rust kártevőcsaládokhoz kapcsolódó kapcsolatok alapos vizsgálatának szükségességét.
