TIKUS RustyWater
Aktor ancaman yang berkaitan dengan Iran yang biasanya dikenali sebagai MuddyWater telah dikaitkan dengan kempen spear-phishing baharu yang disasarkan kepada organisasi diplomatik, maritim, kewangan dan telekomunikasi di seluruh Timur Tengah. Aktiviti ini tertumpu pada implan berasaskan Rust yang digelar RustyWater, menandakan satu lagi langkah dalam evolusi mantap kumpulan itu ke arah perisian hasad yang dibina khas.
Juga dikesan di bawah nama Mango Sandstorm, Static Kitten dan TA450, MuddyWater dinilai secara meluas beroperasi bagi pihak Kementerian Perisikan dan Keselamatan Iran (MOIS). Kumpulan ini telah aktif sekurang-kurangnya sejak 2017 dan mengekalkan tumpuan berterusan terhadap sasaran kerajaan serantau dan sektor swasta.
Isi kandungan
Vektor Jangkitan: Dokumen yang Dipersenjatai dan Penipuan Visual
Rantaian serangan ini agak mudah tetapi berkesan. Mangsa menerima e-mel spear-phishing yang direka bentuk untuk kelihatan seperti panduan keselamatan siber rasmi. Mesej-mesej ini membawa lampiran Microsoft Word yang berniat jahat yang memanfaatkan pemalsuan ikon untuk kelihatan sah.
Apabila dokumen dibuka, pengguna akan digesa untuk 'Dayakan kandungan'. Penerimaan permintaan ini akan mencetuskan makro VBA berniat jahat yang akan menggugurkan dan melaksanakan muatan berasaskan Rust. Langkah kejuruteraan sosial ini kekal penting untuk kejayaan kempen.
Keupayaan Perisian Hasad: Di Dalam Implan RustyWater
RustyWater, juga dikenali sebagai Archer RAT atau RUSTRIC, berfungsi sebagai trojan akses jauh modular yang direka untuk tujuan senyap dan fleksibiliti. Setelah digunakan, ia akan mengumpul maklumat terperinci tentang sistem yang dijangkiti, menyemak produk keselamatan yang dipasang dan mewujudkan kegigihan melalui kunci Pendaftaran Windows.
Implan kemudiannya memulakan komunikasi dengan pelayan arahan dan kawalan di 'nomercys.it[.]com', membolehkan interaksi tak segerak. Melalui saluran ini, pengendali boleh melaksanakan arahan, mengurus fail dan melanjutkan fungsi melalui modul tambahan, menyokong operasi pasca-kompromi jangka panjang.
Evolusi Tradecraft: Daripada Kehidupan di Luar Tanah kepada Peralatan Tersuai
Dari segi sejarah, MuddyWater banyak bergantung pada pemuat PowerShell dan VBS, berserta alat akses jauh yang sah, untuk menjalankan aktiviti akses awal dan susulan. Lama-kelamaan, kumpulan itu sengaja mengurangkan kebergantungan tersebut demi portfolio perisian hasad tersuai yang semakin berkembang.
Ekosistem tersuai ini merangkumi alatan seperti Phoenix, UDPGangster, BugSleep (juga dikenali sebagai MuddyRot) dan MuddyViper. Penerimaan implan berasaskan Rust mencerminkan peralihan ke arah keupayaan yang lebih berstruktur, modular dan rendah hingar yang lebih sukar untuk dianalisis dan dikesan.
Aktiviti Lebih Luas: RUSTRIC Melangkaui Timur Tengah
Pada akhir Disember 2025, para penyelidik melaporkan penggunaan RUSTRIC dalam satu set pencerobohan berkaitan yang menyasarkan firma teknologi maklumat, penyedia perkhidmatan terurus, jabatan sumber manusia dan syarikat pembangunan perisian di Israel. Kelompok aktiviti itu sedang dijejaki sebagai UNG0801 dan Operasi IconCat.
Penemuan ini menggariskan bahawa RustyWater bukanlah eksperimen terpencil tetapi komponen aktif dalam toolkit ofensif MuddyWater yang semakin berkembang.
Implikasi Strategik: Musuh yang Lebih Matang
Kemunculan RustyWater menonjolkan pelaburan berterusan MuddyWater dalam perisian hasad yang dibina khas yang direka untuk kegigihan, pengembangan modular dan pengelakan. Perkembangan ini menandakan postur operasi yang lebih matang, dengan perkakasan yang menyokong akses jangka panjang yang lebih senyap dan bukannya aktiviti yang terang-terangan dan penuh skrip.
Bagi pembela, evolusi ini mengukuhkan keperluan untuk meneliti gewang pancingan data berasaskan dokumen, memantau mekanisme kegigihan berasaskan pendaftaran dan memeriksa dengan teliti sambungan keluar yang luar biasa, terutamanya yang berkaitan dengan keluarga perisian hasad Rust yang baru diperhatikan.
