RustyWater RAT
Iránsky prepojený aktér, všeobecne známy ako MuddyWater, bol pripisovaný novej phishingovej kampani zameranej na diplomatické, námorné, finančné a telekomunikačné organizácie na celom Blízkom východe. Aktivita sa sústreďuje na implantát založený na platforme Rust s názvom RustyWater, čo predstavuje ďalší krok v stabilnom vývoji skupiny smerom k malvéru vytvorenému na mieru.
Skupina MuddyWater, sledovaná aj pod názvami Mango Sandstorm, Static Kitten a TA450, údajne pôsobí v mene iránskeho ministerstva spravodajských služieb a bezpečnosti (MOIS). Skupina je aktívna minimálne od roku 2017 a neustále sa zameriava na ciele regionálnej vlády a súkromného sektora.
Obsah
Vektor infekcie: Dokumenty zneužité ako zbraň a vizuálny podvod
Útočný reťazec je relatívne jednoduchý, ale účinný. Obete dostávajú phishingové e-maily vytvorené tak, aby vyzerali ako oficiálne pokyny pre kybernetickú bezpečnosť. Tieto správy obsahujú škodlivú prílohu v programe Microsoft Word, ktorá využíva falšovanie ikon, aby vyzerala legitímne.
Po otvorení dokumentu sa používateľovi zobrazí výzva na „Povoliť obsah“. Prijatie tejto požiadavky spustí škodlivé makro VBA, ktoré odstráni a spustí dátový súbor založený na jazyku Rust. Tento krok sociálneho inžinierstva zostáva kľúčový pre úspech kampane.
Možnosti škodlivého softvéru: Vnútri implantátu RustyWater
RustyWater, tiež známy ako Archer RAT alebo RUSTRIC, funguje ako modulárny trójsky kôň pre vzdialený prístup navrhnutý pre nenápadnosť a flexibilitu. Po nasadení zhromažďuje podrobné informácie o infikovanom systéme, kontroluje nainštalované bezpečnostné produkty a zabezpečuje trvalosť prostredníctvom kľúča v registri systému Windows.
Implantát potom iniciuje komunikáciu so serverom velenia a riadenia na adrese „nomercys.it[.]com“, čo umožňuje asynchrónnu interakciu. Prostredníctvom tohto kanála môžu operátori vykonávať príkazy, spravovať súbory a rozširovať funkčnosť prostredníctvom ďalších modulov, čím podporujú dlhodobé operácie po kompromitácii.
Evolúcia remesiel: Od života z pôdy k výrobe nástrojov na mieru
Spoločnosť MuddyWater sa historicky pri vykonávaní počiatočného prístupu aj následných aktivít vo veľkej miere spoliehala na zavádzače PowerShellu a VBS spolu s legitímnymi nástrojmi na vzdialený prístup. Postupom času skupina túto závislosť zámerne znížila v prospech rastúceho portfólia malvéru na mieru.
Tento vlastný ekosystém zahŕňa nástroje ako Phoenix, UDPGangster, BugSleep (tiež nazývaný MuddyRot) a MuddyViper. Zavedenie implantátov založených na Ruste odráža posun smerom k štruktúrovanejším, modulárnejším a menej šumovým funkciám, ktoré sa ťažšie analyzujú a detekujú.
Širšia aktivita: RUSTRIC Za hranicami Blízkeho východu
Koncom decembra 2025 výskumníci informovali o použití škodlivého frakčného ...
Tieto zistenia zdôrazňujú, že RustyWater nie je izolovaný experiment, ale aktívna súčasť rozširujúcej sa útočnej sady nástrojov MuddyWater.
Strategické dôsledky: Zrelší protivník
Vznik RustyWater zdôrazňuje pokračujúce investície spoločnosti MuddyWater do špeciálne vytvoreného malvéru určeného na zabezpečenie perzistencie, modulárneho rozširovania a obchádzania. Tento pokrok signalizuje zrelší operačný postoj s nástrojmi, ktoré podporujú tichší a dlhodobejší prístup namiesto otvorenej aktivity zameranej na skripty.
Pre obrancov tento vývoj zdôrazňuje potrebu skúmať phishingové návnady založené na dokumentoch, monitorovať mechanizmy perzistencie založené na registroch a dôkladne kontrolovať nezvyčajné odchádzajúce pripojenia, najmä tie, ktoré sú spojené s novo objavenými rodinami malvéru Rust.
