RustyWater RAT
이란과 연계된 것으로 알려진 악성코드 '머디워터(MuddyWater)'가 중동 지역의 외교, 해양, 금융 및 통신 기관을 대상으로 새로운 스피어 피싱 공격을 감행한 것으로 확인되었습니다. 이번 공격은 '러스티워터(RustyWater)'라는 이름의 러스트(Rust) 기반 악성코드를 중심으로 이루어졌으며, 이는 머디워터 그룹이 맞춤형 악성코드 제작으로 진화하고 있음을 보여주는 또 다른 사례입니다.
MuddyWater는 Mango Sandstorm, Static Kitten, TA450 등의 이름으로도 추적되고 있으며, 이란 정보안보부(MOIS)의 지시를 받아 활동하는 것으로 널리 알려져 있습니다. 이 그룹은 적어도 2017년부터 활동해 왔으며, 지역 정부 및 민간 부문을 주요 공격 대상으로 삼고 있습니다.
목차
감염 벡터: 무기화된 문서와 시각적 기만
공격 과정은 비교적 단순하지만 효과적입니다. 피해자는 공식적인 사이버 보안 지침처럼 보이도록 위조된 스피어 피싱 이메일을 받습니다. 이 이메일에는 악성 Microsoft Word 첨부 파일이 포함되어 있는데, 이 파일은 아이콘 위장 기술을 사용하여 합법적인 것처럼 보이게 합니다.
문서를 열면 사용자에게 '콘텐츠 사용'을 묻는 메시지가 표시됩니다. 이 요청을 수락하면 악성 VBA 매크로가 실행되어 Rust 기반 페이로드가 설치 및 실행됩니다. 이러한 사회공학적 단계는 캠페인의 성공에 매우 중요합니다.
악성코드 기능: RustyWater 임플란트 내부 구조
RustyWater는 Archer RAT 또는 RUSTRIC으로도 알려져 있으며, 은밀성과 유연성을 고려하여 설계된 모듈형 원격 접속 트로이목마입니다. 배포 후에는 감염된 시스템에 대한 자세한 정보를 수집하고, 설치된 보안 제품을 확인하며, Windows 레지스트리 키를 통해 지속성을 확보합니다.
이후 임플란트는 'nomercys.it[.]com'에 있는 명령 및 제어 서버와 통신을 시작하여 비동기 상호 작용을 가능하게 합니다. 이 채널을 통해 운영자는 명령을 실행하고, 파일을 관리하고, 추가 모듈을 통해 기능을 확장하여 침해 후 장기적인 운영을 지원할 수 있습니다.
전문 기술의 진화: 자연에서 살아가는 방식에서 맞춤형 도구 제작으로
과거에 MuddyWater는 초기 접근 및 후속 활동을 수행하기 위해 PowerShell 및 VBS 로더와 합법적인 원격 접속 도구를 주로 사용했습니다. 그러나 시간이 지남에 따라 이러한 의존도를 의도적으로 줄이고 자체 개발한 악성코드 포트폴리오를 확대해 왔습니다.
이 맞춤형 생태계에는 Phoenix, UDPGangster, BugSleep(MuddyRot이라고도 함), MuddyViper와 같은 도구가 포함됩니다. Rust 기반 임플란트의 도입은 분석 및 탐지가 더 어려운 구조화되고 모듈화되었으며 노이즈가 적은 기능에 대한 선호도를 반영합니다.
더 넓은 활동 범위: 중동을 넘어선 소박한 삶
2025년 12월 말, 연구원들은 이스라엘의 정보 기술 기업, 관리형 서비스 제공업체, 인사 부서 및 소프트웨어 개발 회사를 대상으로 한 일련의 침입 공격에서 RUSTRIC이 사용된 것을 보고했습니다. 이러한 활동은 UNG0801 및 IconCat 작전으로 추적되고 있습니다.
이러한 결과는 RustyWater가 고립된 실험이 아니라 MuddyWater의 확장되는 공격 도구 모음의 핵심 구성 요소임을 강조합니다.
전략적 함의: 더욱 성숙해진 적
RustyWater의 등장은 MuddyWater가 지속성, 모듈식 확장 및 회피를 위해 특별히 설계된 악성코드에 지속적으로 투자하고 있음을 보여줍니다. 이러한 발전은 노골적인 스크립트 기반 활동보다는 은밀하고 장기적인 접근을 지원하는 도구를 갖춘 더욱 성숙한 운영 태세를 나타냅니다.
방어자들에게 있어 이러한 진화는 문서 기반 피싱 미끼를 면밀히 조사하고, 레지스트리 기반 지속성 메커니즘을 모니터링하며, 특히 새로 발견된 Rust 멀웨어 계열과 관련된 비정상적인 외부 연결을 면밀히 검사해야 할 필요성을 더욱 강조합니다.
