RustyWater RAT
इरानी-सम्बद्ध खतरा अभिनेतालाई सामान्यतया मड्डीवाटर भनेर चिनिन्छ, मध्य पूर्वभरिका कूटनीतिक, समुद्री, वित्तीय र दूरसञ्चार संस्थाहरूलाई लक्षित गरी नयाँ भाला-फिसिङ अभियानको लागि जिम्मेवार ठहराइएको छ। यो गतिविधि रस्टीवाटर भनिने रस्ट-आधारित इम्प्लान्टमा केन्द्रित छ, जसले कस्टम-निर्मित मालवेयर तर्फ समूहको स्थिर विकासमा अर्को कदम चिन्ह लगाउँछ।
मड्डीवाटरलाई म्याङ्गो स्यान्डस्टर्म, स्ट्याटिक किटन र TA450 नामले पनि ट्र्याक गरिएको छ र इरानको गुप्तचर तथा सुरक्षा मन्त्रालय (MOIS) को तर्फबाट सञ्चालन हुने व्यापक रूपमा मूल्याङ्कन गरिएको छ। यो समूह कम्तिमा २०१७ देखि सक्रिय छ र क्षेत्रीय सरकारी र निजी क्षेत्रका लक्ष्यहरूमा निरन्तर ध्यान केन्द्रित गर्दछ।
सामग्रीको तालिका
संक्रमण भेक्टर: हतियारयुक्त कागजातहरू र दृश्य छल
आक्रमण श्रृंखला अपेक्षाकृत सरल तर प्रभावकारी छ। पीडितहरूले आधिकारिक साइबर सुरक्षा निर्देशन जस्तो देखिने गरी बनाइएका भाला-फिसिङ इमेलहरू प्राप्त गर्छन्। यी सन्देशहरूमा माइक्रोसफ्ट वर्डमा दुर्भावनापूर्ण संलग्नक हुन्छ जसले आइकन स्पूफिङलाई वैध देखाउन प्रयोग गर्दछ।
जब कागजात खोलिन्छ, प्रयोगकर्तालाई 'सामग्री सक्षम गर्नुहोस्' भनेर प्रेरित गरिन्छ। यो अनुरोध स्वीकार गर्नाले एक दुर्भावनापूर्ण VBA म्याक्रो ट्रिगर हुन्छ जसले रस्ट-आधारित पेलोडलाई छोड्छ र कार्यान्वयन गर्छ। यो सामाजिक इन्जिनियरिङ चरण अभियानको सफलताको लागि महत्त्वपूर्ण रहन्छ।
मालवेयर क्षमताहरू: रस्टीवाटर इम्प्लान्ट भित्र
RustyWater, जसलाई Archer RAT वा RUSTRIC पनि भनिन्छ, चोरी र लचिलोपनको लागि डिजाइन गरिएको मोड्युलर रिमोट एक्सेस ट्रोजनको रूपमा काम गर्दछ। एक पटक तैनाथ गरिसकेपछि, यसले संक्रमित प्रणालीको बारेमा विस्तृत जानकारी सङ्कलन गर्दछ, स्थापित सुरक्षा उत्पादनहरूको जाँच गर्दछ, र Windows Registry key मार्फत स्थिरता स्थापित गर्दछ।
त्यसपछि इम्प्लान्टले 'nomercys.it[.]com' मा रहेको कमाण्ड-एन्ड-कन्ट्रोल सर्भरसँग सञ्चार सुरु गर्छ, जसले एसिन्क्रोनस अन्तरक्रियालाई सक्षम बनाउँछ। यस च्यानल मार्फत, अपरेटरहरूले आदेशहरू कार्यान्वयन गर्न, फाइलहरू व्यवस्थापन गर्न र थप मोड्युलहरू मार्फत कार्यक्षमता विस्तार गर्न सक्छन्, जसले गर्दा दीर्घकालीन सम्झौता पछिको कार्यहरू समर्थन हुन्छन्।
ट्रेडक्राफ्ट इभोलुसन: भूमिबाट बाहिर बस्ने देखि कस्टम टुलिङ सम्म
ऐतिहासिक रूपमा, MuddyWater ले प्रारम्भिक पहुँच र फलो-अन गतिविधि दुवै सञ्चालन गर्न वैध रिमोट पहुँच उपकरणहरू सहित PowerShell र VBS लोडरहरूमा धेरै निर्भर थियो। समयसँगै, समूहले बेस्पोक मालवेयरको बढ्दो पोर्टफोलियोको पक्षमा जानाजानी त्यो निर्भरता घटाएको छ।
यो अनुकूलन इकोसिस्टममा फिनिक्स, UDPGangster, BugSleep (MuddyRot पनि भनिन्छ), र MuddyViper जस्ता उपकरणहरू समावेश छन्। रस्ट-आधारित इम्प्लान्टहरूको अपनाउनेले विश्लेषण गर्न र पत्ता लगाउन गाह्रो हुने थप संरचित, मोड्युलर, र कम-आवाज क्षमताहरू तर्फको परिवर्तनलाई प्रतिबिम्बित गर्दछ।
फराकिलो गतिविधि: मध्य पूर्वभन्दा बाहिर RUSTRIC
डिसेम्बर २०२५ को अन्त्यतिर, अनुसन्धानकर्ताहरूले इजरायलमा सूचना प्रविधि फर्महरू, व्यवस्थित सेवा प्रदायकहरू, मानव संसाधन विभागहरू, र सफ्टवेयर विकास कम्पनीहरूलाई लक्षित गर्ने सम्बन्धित घुसपैठहरूमा RUSTRIC को प्रयोगको रिपोर्ट गरे। गतिविधिको त्यो समूहलाई UNG0801 र Operation IconCat को रूपमा ट्र्याक गरिएको छ।
यी निष्कर्षहरूले रस्टीवाटर कुनै पृथक प्रयोग होइन तर मड्डीवाटरको विस्तारित आक्रामक टूलकिटको सक्रिय घटक हो भन्ने कुरालाई जोड दिन्छ।
रणनीतिक निहितार्थ: एक परिपक्व विरोधी
रस्टीवाटरको उदयले दृढता, मोड्युलर विस्तार, र चोरीको लागि डिजाइन गरिएको उद्देश्य-निर्मित मालवेयरमा मड्डीवाटरको निरन्तर लगानीलाई प्रकाश पार्छ। यो प्रगतिले थप परिपक्व परिचालन मुद्रालाई संकेत गर्दछ, जसमा खुला, स्क्रिप्ट-भारी गतिविधिको सट्टा शान्त, दीर्घकालीन पहुँचलाई समर्थन गर्ने उपकरणहरू छन्।
रक्षकहरूका लागि, यो विकासले कागजात-आधारित फिसिङ लोभहरूको जाँच गर्ने, रजिस्ट्री-आधारित दृढता संयन्त्रहरूको निगरानी गर्ने, र असामान्य आउटबाउन्ड जडानहरू, विशेष गरी भर्खरै अवलोकन गरिएका रस्ट मालवेयर परिवारहरूसँग सम्बन्धितहरूलाई नजिकबाट निरीक्षण गर्ने आवश्यकतालाई बलियो बनाउँछ।
