RustyWater RIURKĖ
Su Iranu susijęs kenkėjiškų programų veikėjas, geriau žinomas kaip „MuddyWater“, buvo priskirtas naujai sukčiavimo kampanijai, nukreiptai prieš diplomatines, jūrų, finansų ir telekomunikacijų organizacijas visame Artimuosiuose Rytuose. Veiklos centre – „Rust“ pagrindu sukurta programa, pavadinta „RustyWater“, kuri žymi dar vieną žingsnį grupuotės nuolatinėje evoliucijoje kuriant pagal užsakymą sukurtas kenkėjiškas programas.
„MuddyWater“, dar žinoma „Mango Sandstorm“, „Static Kitten“ ir „TA450“ pavadinimais, plačiai vertinama kaip veikianti Irano žvalgybos ir saugumo ministerijos (MOIS) vardu. Grupuotė veikia mažiausiai nuo 2017 m. ir nuolat daugiausia dėmesio skiria regioninės valdžios ir privačiojo sektoriaus taikiniams.
Turinys
Infekcijos vektorius: ginklais paversti dokumentai ir vizualinė apgaulė
Atakų grandinė yra gana paprasta, bet veiksminga. Aukos gauna tikslinius sukčiavimo el. laiškus, sukurtus taip, kad atrodytų kaip oficialūs kibernetinio saugumo nurodymai. Šiuose laiškuose yra kenkėjiškas „Microsoft Word“ priedas, kuriame naudojamos klastotės, kad atrodytų teisėti.
Atidarius dokumentą, vartotojo prašoma „Įjungti turinį“. Priėmus šį prašymą, suaktyvinama kenkėjiška VBA makrokomanda, kuri išmeta ir vykdo „Rust“ pagrindu sukurtą naudingąją apkrovą. Šis socialinės inžinerijos žingsnis išlieka labai svarbus kampanijos sėkmei.
Kenkėjiškų programų galimybės: „RustyWater“ implanto viduje
„RustyWater“, dar žinomas kaip „Archer RAT“ arba „RUSTRIC“, veikia kaip modulinis nuotolinės prieigos Trojos arklys, sukurtas siekiant nepastebimo ir lankstumo. Įdiegus, jis renka išsamią informaciją apie užkrėstą sistemą, ieško įdiegtų saugos produktų ir nustato viruso atkuriamumą naudodamas „Windows“ registro raktą.
Tada implantas inicijuoja ryšį su komandų ir valdymo serveriu adresu „nomercys.it[.]com“, įgalindamas asinchroninę sąveiką. Per šį kanalą operatoriai gali vykdyti komandas, tvarkyti failus ir išplėsti funkcionalumą naudodami papildomus modulius, palaikydami ilgalaikes operacijas po kompromitacijos.
„Tradecraft“ evoliucija: nuo savarankiško darbo iki individualių įrankių gamybos
Istoriškai „MuddyWater“ labai rėmėsi „PowerShell“ ir VBS įkrovikliais, taip pat teisėtais nuotolinės prieigos įrankiais, kad atliktų tiek pradinę prieigą, tiek tolesnę veiklą. Laikui bėgant grupė sąmoningai sumažino šią priklausomybę, pirmenybę teikdama augančiam specialiai sukurtų kenkėjiškų programų portfeliui.
Ši pritaikyta ekosistema apima tokius įrankius kaip „Phoenix“, „UDPGangster“, „BugSleep“ (dar vadinamą „MuddyRot“) ir „MuddyViper“. „Rust“ pagrindu sukurtų implantų diegimas atspindi poslinkį link labiau struktūrizuotų, modulinių ir mažiau triukšmingų galimybių, kurias sunkiau analizuoti ir aptikti.
Platesnė veikla: RUSTRIC už Artimųjų Rytų ribų
2025 m. gruodžio pabaigoje tyrėjai pranešė apie RUSTRIC naudojimą susijusiame įsilaužimų rinkinyje, kurio taikiniai buvo informacinių technologijų įmonės, valdomų paslaugų teikėjai, žmogiškųjų išteklių skyriai ir programinės įrangos kūrimo įmonės Izraelyje. Ši veiklos grupė sekama kaip UNG0801 ir operacija „IconCat“.
Šie rezultatai pabrėžia, kad „RustyWater“ nėra pavienis eksperimentas, o aktyvus „MuddyWater“ besiplečiančio puolimo įrankių rinkinio komponentas.
Strateginės pasekmės: brandesnis priešininkas
„RustyWater“ atsiradimas pabrėžia nuolatines „MuddyWater“ investicijas į specialiai sukurtą kenkėjišką programinę įrangą, skirtą atkaklumui, moduliniam išplėtimui ir apėjimui. Ši pažanga rodo brandesnę operacinę poziciją, kai įrankiai palaiko tylesnę, ilgalaikę prieigą, o ne atvirą, scenarijų gausią veiklą.
Gynėjams ši evoliucija sustiprina poreikį atidžiai tikrinti dokumentais pagrįstas sukčiavimo atakas, stebėti registrais pagrįstus įsilaužimo mechanizmus ir atidžiai tikrinti neįprastus išeinančius ryšius, ypač tuos, kurie susiję su naujai pastebėtomis „Rust“ kenkėjiškų programų šeimomis.
