RustyWater RAT
ਈਰਾਨ ਨਾਲ ਜੁੜੇ ਧਮਕੀ ਦੇਣ ਵਾਲੇ ਐਕਟਰ ਨੂੰ ਆਮ ਤੌਰ 'ਤੇ ਮਡੀਵਾਟਰ ਵਜੋਂ ਜਾਣਿਆ ਜਾਂਦਾ ਹੈ, ਨੂੰ ਮੱਧ ਪੂਰਬ ਵਿੱਚ ਕੂਟਨੀਤਕ, ਸਮੁੰਦਰੀ, ਵਿੱਤੀ ਅਤੇ ਦੂਰਸੰਚਾਰ ਸੰਗਠਨਾਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਣ ਵਾਲੀ ਇੱਕ ਨਵੀਂ ਸਪੀਅਰ-ਫਿਸ਼ਿੰਗ ਮੁਹਿੰਮ ਦਾ ਕਾਰਨ ਮੰਨਿਆ ਗਿਆ ਹੈ। ਇਹ ਗਤੀਵਿਧੀ ਰਸਟ-ਅਧਾਰਤ ਇਮਪਲਾਂਟ 'ਤੇ ਕੇਂਦ੍ਰਿਤ ਹੈ ਜਿਸਨੂੰ ਰਸਟਵਾਟਰ ਕਿਹਾ ਜਾਂਦਾ ਹੈ, ਜੋ ਕਿ ਕਸਟਮ-ਬਿਲਟ ਮਾਲਵੇਅਰ ਵੱਲ ਸਮੂਹ ਦੇ ਸਥਿਰ ਵਿਕਾਸ ਵਿੱਚ ਇੱਕ ਹੋਰ ਕਦਮ ਹੈ।
ਮੈਂਗੋ ਸੈਂਡਸਟੋਰਮ, ਸਟੈਟਿਕ ਕਿਟਨ, ਅਤੇ ਟੀਏ450 ਦੇ ਨਾਵਾਂ ਹੇਠ ਵੀ ਟਰੈਕ ਕੀਤਾ ਜਾਂਦਾ ਹੈ, ਮਡੀਵਾਟਰ ਦਾ ਵਿਆਪਕ ਤੌਰ 'ਤੇ ਈਰਾਨ ਦੇ ਖੁਫੀਆ ਅਤੇ ਸੁਰੱਖਿਆ ਮੰਤਰਾਲੇ (MOIS) ਵੱਲੋਂ ਕੰਮ ਕਰਨ ਲਈ ਮੁਲਾਂਕਣ ਕੀਤਾ ਜਾਂਦਾ ਹੈ। ਇਹ ਸਮੂਹ ਘੱਟੋ-ਘੱਟ 2017 ਤੋਂ ਸਰਗਰਮ ਹੈ ਅਤੇ ਖੇਤਰੀ ਸਰਕਾਰੀ ਅਤੇ ਨਿੱਜੀ-ਖੇਤਰ ਦੇ ਟੀਚਿਆਂ 'ਤੇ ਨਿਰੰਤਰ ਧਿਆਨ ਕੇਂਦਰਿਤ ਰੱਖਦਾ ਹੈ।
ਵਿਸ਼ਾ - ਸੂਚੀ
ਇਨਫੈਕਸ਼ਨ ਵੈਕਟਰ: ਹਥਿਆਰਬੰਦ ਦਸਤਾਵੇਜ਼ ਅਤੇ ਵਿਜ਼ੂਅਲ ਧੋਖਾ
ਹਮਲੇ ਦੀ ਲੜੀ ਮੁਕਾਬਲਤਨ ਸਧਾਰਨ ਪਰ ਪ੍ਰਭਾਵਸ਼ਾਲੀ ਹੈ। ਪੀੜਤਾਂ ਨੂੰ ਸਪੀਅਰ-ਫਿਸ਼ਿੰਗ ਈਮੇਲ ਪ੍ਰਾਪਤ ਹੁੰਦੇ ਹਨ ਜੋ ਅਧਿਕਾਰਤ ਸਾਈਬਰ ਸੁਰੱਖਿਆ ਮਾਰਗਦਰਸ਼ਨ ਵਾਂਗ ਦਿਖਣ ਲਈ ਤਿਆਰ ਕੀਤੇ ਜਾਂਦੇ ਹਨ। ਇਹਨਾਂ ਸੁਨੇਹਿਆਂ ਵਿੱਚ ਇੱਕ ਖਤਰਨਾਕ ਮਾਈਕ੍ਰੋਸਾਫਟ ਵਰਡ ਅਟੈਚਮੈਂਟ ਹੁੰਦਾ ਹੈ ਜੋ ਜਾਇਜ਼ ਦਿਖਣ ਲਈ ਆਈਕਨ ਸਪੂਫਿੰਗ ਦਾ ਲਾਭ ਉਠਾਉਂਦਾ ਹੈ।
ਜਦੋਂ ਦਸਤਾਵੇਜ਼ ਖੋਲ੍ਹਿਆ ਜਾਂਦਾ ਹੈ, ਤਾਂ ਉਪਭੋਗਤਾ ਨੂੰ 'ਸਮੱਗਰੀ ਨੂੰ ਸਮਰੱਥ ਬਣਾਓ' ਲਈ ਕਿਹਾ ਜਾਂਦਾ ਹੈ। ਇਸ ਬੇਨਤੀ ਨੂੰ ਸਵੀਕਾਰ ਕਰਨ ਨਾਲ ਇੱਕ ਖਤਰਨਾਕ VBA ਮੈਕਰੋ ਸ਼ੁਰੂ ਹੁੰਦਾ ਹੈ ਜੋ ਰਸਟ-ਅਧਾਰਿਤ ਪੇਲੋਡ ਨੂੰ ਛੱਡਦਾ ਹੈ ਅਤੇ ਚਲਾਉਂਦਾ ਹੈ। ਇਹ ਸਮਾਜਿਕ ਇੰਜੀਨੀਅਰਿੰਗ ਕਦਮ ਮੁਹਿੰਮ ਦੀ ਸਫਲਤਾ ਲਈ ਮਹੱਤਵਪੂਰਨ ਰਹਿੰਦਾ ਹੈ।
ਮਾਲਵੇਅਰ ਸਮਰੱਥਾਵਾਂ: ਰਸਟੀਵਾਟਰ ਇਮਪਲਾਂਟ ਦੇ ਅੰਦਰ
ਰਸਟੀਵਾਟਰ, ਜਿਸਨੂੰ ਆਰਚਰ RAT ਜਾਂ RUSTRIC ਵੀ ਕਿਹਾ ਜਾਂਦਾ ਹੈ, ਇੱਕ ਮਾਡਿਊਲਰ ਰਿਮੋਟ ਐਕਸੈਸ ਟ੍ਰੋਜਨ ਵਜੋਂ ਕੰਮ ਕਰਦਾ ਹੈ ਜੋ ਸਟੀਲਥ ਅਤੇ ਲਚਕਤਾ ਲਈ ਤਿਆਰ ਕੀਤਾ ਗਿਆ ਹੈ। ਇੱਕ ਵਾਰ ਤਾਇਨਾਤ ਹੋਣ ਤੋਂ ਬਾਅਦ, ਇਹ ਸੰਕਰਮਿਤ ਸਿਸਟਮ ਬਾਰੇ ਵਿਸਤ੍ਰਿਤ ਜਾਣਕਾਰੀ ਇਕੱਠੀ ਕਰਦਾ ਹੈ, ਸਥਾਪਿਤ ਸੁਰੱਖਿਆ ਉਤਪਾਦਾਂ ਦੀ ਜਾਂਚ ਕਰਦਾ ਹੈ, ਅਤੇ ਇੱਕ ਵਿੰਡੋਜ਼ ਰਜਿਸਟਰੀ ਕੁੰਜੀ ਰਾਹੀਂ ਸਥਿਰਤਾ ਸਥਾਪਤ ਕਰਦਾ ਹੈ।
ਫਿਰ ਇਮਪਲਾਂਟ 'nomercys.it[.]com' 'ਤੇ ਇੱਕ ਕਮਾਂਡ-ਐਂਡ-ਕੰਟਰੋਲ ਸਰਵਰ ਨਾਲ ਸੰਚਾਰ ਸ਼ੁਰੂ ਕਰਦਾ ਹੈ, ਜਿਸ ਨਾਲ ਅਸਿੰਕ੍ਰੋਨਸ ਇੰਟਰੈਕਸ਼ਨ ਨੂੰ ਸਮਰੱਥ ਬਣਾਇਆ ਜਾਂਦਾ ਹੈ। ਇਸ ਚੈਨਲ ਰਾਹੀਂ, ਓਪਰੇਟਰ ਕਮਾਂਡਾਂ ਨੂੰ ਲਾਗੂ ਕਰ ਸਕਦੇ ਹਨ, ਫਾਈਲਾਂ ਦਾ ਪ੍ਰਬੰਧਨ ਕਰ ਸਕਦੇ ਹਨ, ਅਤੇ ਵਾਧੂ ਮੋਡੀਊਲਾਂ ਰਾਹੀਂ ਕਾਰਜਸ਼ੀਲਤਾ ਨੂੰ ਵਧਾ ਸਕਦੇ ਹਨ, ਜੋ ਕਿ ਲੰਬੇ ਸਮੇਂ ਦੇ ਸਮਝੌਤੇ ਤੋਂ ਬਾਅਦ ਦੇ ਕਾਰਜਾਂ ਦਾ ਸਮਰਥਨ ਕਰਦੇ ਹਨ।
ਟ੍ਰੇਡਕ੍ਰਾਫਟ ਵਿਕਾਸ: ਜ਼ਮੀਨ ਤੋਂ ਬਾਹਰ ਰਹਿਣ ਤੋਂ ਲੈ ਕੇ ਕਸਟਮ ਟੂਲਿੰਗ ਤੱਕ
ਇਤਿਹਾਸਕ ਤੌਰ 'ਤੇ, MuddyWater ਸ਼ੁਰੂਆਤੀ ਪਹੁੰਚ ਅਤੇ ਫਾਲੋ-ਆਨ ਗਤੀਵਿਧੀ ਦੋਵਾਂ ਨੂੰ ਕਰਨ ਲਈ, ਜਾਇਜ਼ ਰਿਮੋਟ ਐਕਸੈਸ ਟੂਲਸ ਦੇ ਨਾਲ, PowerShell ਅਤੇ VBS ਲੋਡਰਾਂ 'ਤੇ ਬਹੁਤ ਜ਼ਿਆਦਾ ਨਿਰਭਰ ਕਰਦਾ ਸੀ। ਸਮੇਂ ਦੇ ਨਾਲ, ਸਮੂਹ ਨੇ ਜਾਣਬੁੱਝ ਕੇ ਬੇਸਪੋਕ ਮਾਲਵੇਅਰ ਦੇ ਵਧ ਰਹੇ ਪੋਰਟਫੋਲੀਓ ਦੇ ਹੱਕ ਵਿੱਚ ਉਸ ਨਿਰਭਰਤਾ ਨੂੰ ਘਟਾ ਦਿੱਤਾ ਹੈ।
ਇਸ ਕਸਟਮ ਈਕੋਸਿਸਟਮ ਵਿੱਚ ਫੀਨਿਕਸ, ਯੂਡੀਪੀਗੈਂਗਸਟਰ, ਬੱਗਸਲੀਪ (ਜਿਸਨੂੰ ਮਡੀਰੋਟ ਵੀ ਕਿਹਾ ਜਾਂਦਾ ਹੈ), ਅਤੇ ਮਡੀਵਾਈਪਰ ਵਰਗੇ ਟੂਲ ਸ਼ਾਮਲ ਹਨ। ਰਸਟ-ਅਧਾਰਤ ਇਮਪਲਾਂਟਾਂ ਨੂੰ ਅਪਣਾਉਣਾ ਵਧੇਰੇ ਢਾਂਚਾਗਤ, ਮਾਡਯੂਲਰ, ਅਤੇ ਘੱਟ-ਸ਼ੋਰ ਸਮਰੱਥਾਵਾਂ ਵੱਲ ਇੱਕ ਤਬਦੀਲੀ ਨੂੰ ਦਰਸਾਉਂਦਾ ਹੈ ਜਿਨ੍ਹਾਂ ਦਾ ਵਿਸ਼ਲੇਸ਼ਣ ਕਰਨਾ ਅਤੇ ਖੋਜਣਾ ਔਖਾ ਹੈ।
ਵਿਆਪਕ ਗਤੀਵਿਧੀ: ਮੱਧ ਪੂਰਬ ਤੋਂ ਪਰੇ RUSTRIC
ਦਸੰਬਰ 2025 ਦੇ ਅਖੀਰ ਵਿੱਚ, ਖੋਜਕਰਤਾਵਾਂ ਨੇ ਇਜ਼ਰਾਈਲ ਵਿੱਚ ਸੂਚਨਾ ਤਕਨਾਲੋਜੀ ਫਰਮਾਂ, ਪ੍ਰਬੰਧਿਤ ਸੇਵਾ ਪ੍ਰਦਾਤਾਵਾਂ, ਮਨੁੱਖੀ ਸਰੋਤ ਵਿਭਾਗਾਂ ਅਤੇ ਸਾਫਟਵੇਅਰ ਵਿਕਾਸ ਕੰਪਨੀਆਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਣ ਵਾਲੀਆਂ ਘੁਸਪੈਠਾਂ ਦੇ ਇੱਕ ਸੰਬੰਧਿਤ ਸਮੂਹ ਵਿੱਚ RUSTRIC ਦੀ ਵਰਤੋਂ ਦੀ ਰਿਪੋਰਟ ਕੀਤੀ। ਗਤੀਵਿਧੀ ਦੇ ਉਸ ਸਮੂਹ ਨੂੰ UNG0801 ਅਤੇ Operation IconCat ਵਜੋਂ ਟਰੈਕ ਕੀਤਾ ਜਾ ਰਿਹਾ ਹੈ।
ਇਹ ਖੋਜਾਂ ਇਸ ਗੱਲ 'ਤੇ ਜ਼ੋਰ ਦਿੰਦੀਆਂ ਹਨ ਕਿ ਰਸਟੀਵਾਟਰ ਕੋਈ ਅਲੱਗ-ਥਲੱਗ ਪ੍ਰਯੋਗ ਨਹੀਂ ਹੈ ਬਲਕਿ ਮਡੀਵਾਟਰ ਦੇ ਫੈਲ ਰਹੇ ਅਪਮਾਨਜਨਕ ਟੂਲਕਿੱਟ ਦਾ ਇੱਕ ਸਰਗਰਮ ਹਿੱਸਾ ਹੈ।
ਰਣਨੀਤਕ ਪ੍ਰਭਾਵ: ਇੱਕ ਹੋਰ ਪਰਿਪੱਕ ਵਿਰੋਧੀ
ਰਸਟੀਵਾਟਰ ਦਾ ਉਭਾਰ ਮਡੀਵਾਟਰ ਦੇ ਉਦੇਸ਼-ਨਿਰਮਿਤ ਮਾਲਵੇਅਰ ਵਿੱਚ ਨਿਰੰਤਰ ਨਿਵੇਸ਼ ਨੂੰ ਉਜਾਗਰ ਕਰਦਾ ਹੈ ਜੋ ਨਿਰੰਤਰਤਾ, ਮਾਡਯੂਲਰ ਵਿਸਥਾਰ ਅਤੇ ਚੋਰੀ ਲਈ ਤਿਆਰ ਕੀਤਾ ਗਿਆ ਹੈ। ਇਹ ਪ੍ਰਗਤੀ ਇੱਕ ਵਧੇਰੇ ਪਰਿਪੱਕ ਕਾਰਜਸ਼ੀਲ ਸਥਿਤੀ ਦਾ ਸੰਕੇਤ ਦਿੰਦੀ ਹੈ, ਟੂਲਿੰਗ ਦੇ ਨਾਲ ਜੋ ਸਪੱਸ਼ਟ, ਸਕ੍ਰਿਪਟ-ਭਾਰੀ ਗਤੀਵਿਧੀ ਦੀ ਬਜਾਏ ਸ਼ਾਂਤ, ਲੰਬੇ ਸਮੇਂ ਦੀ ਪਹੁੰਚ ਦਾ ਸਮਰਥਨ ਕਰਦੀ ਹੈ।
ਡਿਫੈਂਡਰਾਂ ਲਈ, ਇਹ ਵਿਕਾਸ ਦਸਤਾਵੇਜ਼-ਅਧਾਰਤ ਫਿਸ਼ਿੰਗ ਲਾਲਚਾਂ ਦੀ ਜਾਂਚ ਕਰਨ, ਰਜਿਸਟਰੀ-ਅਧਾਰਤ ਸਥਿਰਤਾ ਵਿਧੀਆਂ ਦੀ ਨਿਗਰਾਨੀ ਕਰਨ, ਅਤੇ ਅਸਾਧਾਰਨ ਆਊਟਬਾਉਂਡ ਕਨੈਕਸ਼ਨਾਂ ਦੀ ਨੇੜਿਓਂ ਜਾਂਚ ਕਰਨ ਦੀ ਜ਼ਰੂਰਤ ਨੂੰ ਹੋਰ ਮਜ਼ਬੂਤ ਕਰਦਾ ਹੈ, ਖਾਸ ਕਰਕੇ ਨਵੇਂ ਦੇਖੇ ਗਏ ਰਸਟ ਮਾਲਵੇਅਰ ਪਰਿਵਾਰਾਂ ਨਾਲ ਜੁੜੇ।
