RustyWater RAT
Претећи актер повезан са Ираном, познат као MuddyWater, приписан је новој фишинг кампањи усмереној на дипломатске, поморске, финансијске и телекомуникационе организације широм Блиског истока. Активност се фокусира на имплантат заснован на Rust-у назван RustyWater, што означава још један корак у сталној еволуцији групе ка прилагођеном малверу.
Такође праћена под именима Mango Sandstorm, Static Kitten и TA450, група MuddyWater се сматра чланицом иранског Министарства за обавештајне послове и безбедност (MOIS). Група је активна најмање од 2017. године и стално се фокусира на циљеве регионалних власти и приватног сектора.
Преглед садржаја
Вектор инфекције: Документи као оружје и визуелна обмана
Ланац напада је релативно једноставан, али ефикасан. Жртве добијају имејлове са циљем фишинга који изгледају као званичне смернице за сајбер безбедност. Ове поруке садрже злонамерни прилог из програма Microsoft Word који користи лажно представљање икона како би изгледао легитимно.
Када се документ отвори, кориснику се тражи да „Омогући садржај“. Прихватање овог захтева покреће злонамерни VBA макро који испушта и извршава корисни терет заснован на Rust-у. Овај корак социјалног инжењеринга остаје кључан за успех кампање.
Могућности злонамерног софтвера: Унутар имплантата RustyWater
RustyWater, такође познат као Archer RAT или RUSTRIC, функционише као модуларни тројански вирус за даљински приступ, дизајниран за прикривеност и флексибилност. Једном инсталиран, прикупља детаљне информације о зараженом систему, проверава инсталиране безбедносне производе и успоставља постојаност путем кључа у регистру Windows-а.
Имплант затим покреће комуникацију са командно-контролним сервером на „nomercys.it[.]com“, омогућавајући асинхрону интеракцију. Преко овог канала, оператери могу извршавати команде, управљати датотекама и проширивати функционалност путем додатних модула, подржавајући дугорочне операције након компромитовања.
Еволуција занатства: Од живота од земље до израде алата по мери
Историјски гледано, MuddyWater се у великој мери ослањао на PowerShell и VBS учитаваче, заједно са легитимним алатима за даљински приступ, како би обављао и почетни приступ и накнадне активности. Временом је група намерно смањила ту зависност у корист растућег портфолија злонамерног софтвера по мери.
Овај прилагођени екосистем укључује алате као што су Phoenix, UDPGangster, BugSleep (такође назван MuddyRot) и MuddyViper. Усвајање имплантата заснованих на Rust-у одражава помак ка структуриранијим, модуларнијим и могућностима са нижим нивоом шума које је теже анализирати и открити.
Шира активност: RUSTRIC ван Блиског истока
Крајем децембра 2025. године, истраживачи су известили о коришћењу RUSTRIC-а у повезаном скупу упада усмерених на фирме информационих технологија, добављаче услуга управљања, одељења за људске ресурсе и компаније за развој софтвера у Израелу. Тај кластер активности се прати као UNG0801 и операција IconCat.
Ови налази наглашавају да RustyWater није изоловани експеримент већ активна компонента MuddyWater-овог растућег офанзивног комплета алата.
Стратешке импликације: Зрелији противник
Појава компаније RustyWater истиче континуирано улагање компаније MuddyWater у наменски развијен злонамерни софтвер дизајниран за истрајност, модуларно ширење и избегавање. Овај напредак сигнализира зрелији оперативни став, са алатима који подржавају тиши, дугорочнији приступ, уместо отворене активности оптерећене скриптама.
За заштитнике, ова еволуција појачава потребу за испитивањем мамаца за фишинг заснованих на документима, праћењем механизама перзистентности заснованих на регистру и пажљивим испитивањем необичних одлазних веза, посебно оних повезаних са новооткривеним породицама малвера Rust.
