Podgana RustyWater
Z Iranom povezani akter, splošno znan kot MuddyWater, je bil pripisan novi kampanji lažnega predstavljanja, namenjeni diplomatskim, pomorskim, finančnim in telekomunikacijskim organizacijam po vsem Bližnjem vzhodu. Dejavnost se osredotoča na vsadek, ki temelji na ogrodju Rust, imenovan RustyWater, kar pomeni še en korak v stalnem razvoju skupine proti zlonamerni programski opremi, izdelani po meri.
MuddyWater, ki jo spremljajo tudi pod imeni Mango Sandstorm, Static Kitten in TA450, naj bi delovala v imenu iranskega ministrstva za obveščevalne dejavnosti in varnost (MOIS). Skupina je aktivna vsaj od leta 2017 in se nenehno osredotoča na cilje regionalne vlade in zasebnega sektorja.
Kazalo
Vektor okužbe: dokumenti, ki so orožje, in vizualna prevara
Veriga napadov je relativno preprosta, a učinkovita. Žrtve prejemajo e-poštna sporočila z lažnim predstavljanjem, ki so oblikovana tako, da so videti kot uradna navodila za kibernetsko varnost. Ta sporočila vsebujejo zlonamerno prilogo programa Microsoft Word, ki izkorišča ponarejanje ikon, da bi se zdela legitimna.
Ko se dokument odpre, je uporabnik pozvan, da »Omogoči vsebino«. Sprejem te zahteve sproži zlonamerni makro VBA, ki spusti in izvede koristni tovor, ki temelji na Rustu. Ta korak socialnega inženiringa ostaja ključnega pomena za uspeh kampanje.
Zmogljivosti zlonamerne programske opreme: V notranjosti vsadka RustyWater
RustyWater, znan tudi kot Archer RAT ali RUSTRIC, deluje kot modularni trojanski konj za oddaljeni dostop, zasnovan za prikritost in prilagodljivost. Ko je nameščen, zbira podrobne informacije o okuženem sistemu, preverja nameščene varnostne izdelke in vzpostavlja obstojnost prek ključa registra sistema Windows.
Vsadek nato vzpostavi komunikacijo s strežnikom za upravljanje in nadzor na naslovu »nomercys.it[.]com«, kar omogoča asinhrono interakcijo. Preko tega kanala lahko operaterji izvajajo ukaze, upravljajo datoteke in razširjajo funkcionalnost z dodatnimi moduli, kar podpira dolgoročno delovanje po vdoru.
Razvoj obrtništva: od preživetja na zemlji do izdelave orodij po meri
V preteklosti se je MuddyWater za začetni dostop in nadaljnje dejavnosti močno zanašal na nalagalnike PowerShell in VBS, skupaj z legitimnimi orodji za oddaljeni dostop. Sčasoma je skupina to odvisnost namerno zmanjšala v korist rastočega portfelja zlonamerne programske opreme po meri.
Ta ekosistem po meri vključuje orodja, kot so Phoenix, UDPGangster, BugSleep (imenovan tudi MuddyRot) in MuddyViper. Uporaba vsadkov, ki temeljijo na Rustu, odraža premik k bolj strukturiranim, modularnim in manj šumnim zmogljivostim, ki jih je težje analizirati in zaznati.
Širša dejavnost: RUSTRIC Onkraj Bližnjega vzhoda
Konec decembra 2025 so raziskovalci poročali o uporabi kriptovalute RUSTRIC v sorodnem nizu vdorov, usmerjenih v podjetja informacijske tehnologije, ponudnike upravljanih storitev, oddelke za človeške vire in podjetja za razvoj programske opreme v Izraelu. Ta skupina dejavnosti se spremlja kot UNG0801 in operacija IconCat.
Te ugotovitve poudarjajo, da RustyWater ni osamljen eksperiment, temveč aktivna komponenta MuddyWaterjevega rastočega nabora ofenzivnih orodij.
Strateške posledice: Zrelejši nasprotnik
Pojav RustyWaterja poudarja nenehne naložbe MuddyWaterja v namensko razvito zlonamerno programsko opremo, zasnovano za vztrajnost, modularno širjenje in izogibanje. Ta napredek kaže na zrelejšo operativno držo z orodji, ki podpirajo tišji, dolgoročnejši dostop namesto odkrite dejavnosti, ki temelji na skriptih.
Za zagovornike ta razvoj krepi potrebo po natančnem preučevanju lažnih vab, ki temeljijo na dokumentih, spremljanju mehanizmov vztrajnosti, ki temeljijo na registru, in natančnem pregledu nenavadnih odhodnih povezav, zlasti tistih, povezanih z novo opaženimi družinami zlonamerne programske opreme Rust.
