RustyWater RUT
Ar Irānu saistītais apdraudējumu grupējums, plašāk pazīstams kā MuddyWater, ir ticis vainots jaunā mērķtiecīgas pikšķerēšanas kampaņā, kas vērsta pret diplomātiskajām, jūras, finanšu un telekomunikāciju organizācijām visā Tuvajos Austrumos. Aktivitātes centrā ir uz Rust bāzes veidots implants ar nosaukumu RustyWater, kas iezīmē vēl vienu soli grupas pastāvīgajā attīstībā, virzoties uz pielāgotu ļaunprogrammatūru.
MuddyWater, kas tiek izsekota arī ar nosaukumiem Mango Sandstorm, Static Kitten un TA450, tiek plaši uzskatīts par tādu, kas darbojas Irānas Izlūkošanas un drošības ministrijas (MOIS) vārdā. Grupa darbojas vismaz kopš 2017. gada un pastāvīgi koncentrējas uz reģionālās valdības un privātā sektora mērķiem.
Satura rādītājs
Infekcijas vektors: ieročos pārvērsti dokumenti un vizuāla maldināšana
Uzbrukuma ķēde ir samērā vienkārša, bet efektīva. Upuri saņem mērķtiecīgas pikšķerēšanas e-pastus, kas veidoti tā, lai izskatītos pēc oficiālām kiberdrošības vadlīnijām. Šajos ziņojumos ir ļaunprātīgs Microsoft Word pielikums, kas izmanto ikonu viltošanu, lai izskatītos īsts.
Atverot dokumentu, lietotājam tiek piedāvāts “Iespējot saturu”. Pieņemot šo pieprasījumu, tiek aktivizēts ļaunprātīgs VBA makro, kas atmet un izpilda uz Rust balstītu vērtumu. Šis sociālās inženierijas solis joprojām ir kritiski svarīgs kampaņas panākumiem.
Ļaunprogrammatūras iespējas: RustyWater implanta iekšpusē
RustyWater, kas pazīstams arī kā Archer RAT vai RUSTRIC, darbojas kā modulārs attālās piekļuves Trojas zirgs, kas paredzēts slepenībai un elastībai. Pēc izvietošanas tas apkopo detalizētu informāciju par inficēto sistēmu, pārbauda instalētos drošības produktus un izveido pastāvīgu piekļuvi, izmantojot Windows reģistra atslēgu.
Pēc tam implants uzsāk saziņu ar komandu un vadības serveri vietnē “nomercys.it[.]com”, nodrošinot asinhronu mijiedarbību. Izmantojot šo kanālu, operatori var izpildīt komandas, pārvaldīt failus un paplašināt funkcionalitāti, izmantojot papildu moduļus, atbalstot ilgtermiņa darbības pēc avārijas.
Tradecraft evolūcija: no dzīvošanas no pašu spēkiem līdz pielāgotu instrumentu izgatavošanai
Vēsturiski MuddyWater lielā mērā paļāvās uz PowerShell un VBS ielādētājiem, kā arī uz likumīgiem attālās piekļuves rīkiem, lai veiktu gan sākotnējo piekļuvi, gan turpmākās darbības. Laika gaitā grupa ir apzināti samazinājusi šo atkarību par labu pieaugošam pielāgotu ļaunprogrammatūru portfelim.
Šī pielāgotā ekosistēma ietver tādus rīkus kā Phoenix, UDPGangster, BugSleep (saukts arī par MuddyRot) un MuddyViper. Uz Rust balstītu implantu ieviešana atspoguļo pāreju uz strukturētākām, modulārākām un mazāk trokšņainām iespējām, kuras ir grūtāk analizēt un atklāt.
Plašāka darbība: RUSTRIC ārpus Tuvajiem Austrumiem
2025. gada decembra beigās pētnieki ziņoja par RUSTRIC izmantošanu saistītā ielaušanās kopā, kas bija vērsta pret informācijas tehnoloģiju uzņēmumiem, pārvaldīto pakalpojumu sniedzējiem, cilvēkresursu nodaļām un programmatūras izstrādes uzņēmumiem Izraēlā. Šī darbību grupa tiek izsekota kā UNG0801 un operācija IconCat.
Šie atklājumi uzsver, ka RustyWater nav atsevišķs eksperiments, bet gan aktīva MuddyWater paplašinātā ofensīvā rīku komplekta sastāvdaļa.
Stratēģiskās sekas: nobriedušāks pretinieks
RustyWater parādīšanās uzsver MuddyWater nepārtrauktos ieguldījumus mērķtiecīgi izstrādātā ļaunprogrammatūrā, kas paredzēta noturībai, modulārai paplašināšanai un apiešanai. Šī attīstība liecina par nobriedušāku darbības nostāju, ar rīkiem, kas atbalsta klusāku, ilgtermiņa piekļuvi, nevis atklātu, uz skriptiem balstītu darbību.
Aizstāvjiem šī attīstība pastiprina nepieciešamību rūpīgi pārbaudīt uz dokumentiem balstītas pikšķerēšanas ēsmas, uzraudzīt uz reģistriem balstītus saglabāšanas mehānismus un rūpīgi pārbaudīt neparastus izejošos savienojumus, jo īpaši tos, kas saistīti ar jaunatklātajām Rust ļaunprogrammatūru saimēm.
