RustyWater RAT
ఇరాన్తో సంబంధం ఉన్న ముప్పు కలిగించే వ్యక్తిని సాధారణంగా మడ్డీవాటర్ అని పిలుస్తారు, అతను మధ్యప్రాచ్యం అంతటా దౌత్య, సముద్ర, ఆర్థిక మరియు టెలికమ్యూనికేషన్ సంస్థలను లక్ష్యంగా చేసుకుని ఒక కొత్త స్పియర్-ఫిషింగ్ ప్రచారానికి కారణమని చెప్పబడింది. ఈ కార్యాచరణ రస్టీవాటర్ అని పిలువబడే రస్ట్-ఆధారిత ఇంప్లాంట్పై కేంద్రీకృతమై ఉంది, ఇది కస్టమ్-బిల్ట్ మాల్వేర్ వైపు సమూహం యొక్క స్థిరమైన పరిణామంలో మరో అడుగును సూచిస్తుంది.
మాంగో సాండ్స్టార్మ్, స్టాటిక్ కిట్టెన్ మరియు TA450 పేర్లతో కూడా ట్రాక్ చేయబడిన మడ్డీవాటర్, ఇరాన్ యొక్క ఇంటెలిజెన్స్ మరియు భద్రతా మంత్రిత్వ శాఖ (MOIS) తరపున పనిచేస్తుందని విస్తృతంగా అంచనా వేయబడింది. ఈ బృందం కనీసం 2017 నుండి చురుకుగా ఉంది మరియు ప్రాంతీయ ప్రభుత్వ మరియు ప్రైవేట్ రంగ లక్ష్యాలపై నిరంతరం దృష్టి సారిస్తుంది.
విషయ సూచిక
ఇన్ఫెక్షన్ వెక్టర్: ఆయుధీకరించబడిన పత్రాలు మరియు దృశ్య మోసం
ఈ దాడి గొలుసు చాలా సులభం కానీ ప్రభావవంతమైనది. బాధితులు అధికారిక సైబర్ భద్రతా మార్గదర్శకత్వం వలె కనిపించేలా రూపొందించబడిన స్పియర్-ఫిషింగ్ ఇమెయిల్లను అందుకుంటారు. ఈ సందేశాలు ఐకాన్ స్పూఫింగ్ను చట్టబద్ధంగా కనిపించేలా ప్రభావితం చేసే హానికరమైన మైక్రోసాఫ్ట్ వర్డ్ అటాచ్మెంట్ను కలిగి ఉంటాయి.
డాక్యుమెంట్ తెరిచినప్పుడు, వినియోగదారు 'కంటెంట్ను ప్రారంభించు' అని ప్రాంప్ట్ చేయబడతారు. ఈ అభ్యర్థనను ఆమోదించడం వలన రస్ట్-ఆధారిత పేలోడ్ను తగ్గించి అమలు చేసే హానికరమైన VBA మాక్రో ట్రిగ్గర్ అవుతుంది. ఈ సోషల్ ఇంజనీరింగ్ దశ ప్రచారం విజయానికి కీలకం.
మాల్వేర్ సామర్థ్యాలు: రస్టీవాటర్ ఇంప్లాంట్ లోపల
ఆర్చర్ RAT లేదా RUSTRIC అని కూడా పిలువబడే రస్టీవాటర్, స్టెల్త్ మరియు ఫ్లెక్సిబిలిటీ కోసం రూపొందించబడిన మాడ్యులర్ రిమోట్ యాక్సెస్ ట్రోజన్గా పనిచేస్తుంది. ఒకసారి అమలు చేసిన తర్వాత, ఇది ఇన్ఫెక్ట్ చేయబడిన సిస్టమ్ గురించి వివరణాత్మక సమాచారాన్ని సేకరిస్తుంది, ఇన్స్టాల్ చేయబడిన భద్రతా ఉత్పత్తుల కోసం తనిఖీ చేస్తుంది మరియు విండోస్ రిజిస్ట్రీ కీ ద్వారా నిలకడను ఏర్పరుస్తుంది.
ఇంప్లాంట్ 'nomercys.it[.]com' వద్ద కమాండ్-అండ్-కంట్రోల్ సర్వర్తో కమ్యూనికేషన్ను ప్రారంభిస్తుంది, అసమకాలిక పరస్పర చర్యను ప్రారంభిస్తుంది. ఈ ఛానెల్ ద్వారా, ఆపరేటర్లు ఆదేశాలను అమలు చేయవచ్చు, ఫైల్లను నిర్వహించవచ్చు మరియు అదనపు మాడ్యూళ్ల ద్వారా కార్యాచరణను విస్తరించవచ్చు, దీర్ఘకాలిక పోస్ట్-రాజీ ఆపరేషన్లకు మద్దతు ఇవ్వవచ్చు.
ట్రేడ్క్రాఫ్ట్ పరిణామం: భూమికి దూరంగా జీవించడం నుండి కస్టమ్ టూలింగ్ వరకు
చారిత్రాత్మకంగా, మడ్డీవాటర్ ప్రారంభ యాక్సెస్ మరియు ఫాలో-ఆన్ కార్యకలాపాలను నిర్వహించడానికి చట్టబద్ధమైన రిమోట్ యాక్సెస్ సాధనాలతో పాటు పవర్షెల్ మరియు VBS లోడర్లపై ఎక్కువగా ఆధారపడింది. కాలక్రమేణా, బెస్పోక్ మాల్వేర్ యొక్క పెరుగుతున్న పోర్ట్ఫోలియోకు అనుకూలంగా సమూహం ఉద్దేశపూర్వకంగా ఆ ఆధారపడటాన్ని తగ్గించింది.
ఈ కస్టమ్ ఎకోసిస్టమ్లో ఫీనిక్స్, UDPGangster, BugSleep (MuddyRot అని కూడా పిలుస్తారు) మరియు MuddyViper వంటి సాధనాలు ఉన్నాయి. రస్ట్-ఆధారిత ఇంప్లాంట్లను స్వీకరించడం వలన విశ్లేషించడానికి మరియు గుర్తించడానికి కష్టతరమైన మరింత నిర్మాణాత్మక, మాడ్యులర్ మరియు తక్కువ-శబ్ద సామర్థ్యాల వైపు మార్పు వస్తుంది.
విస్తృత కార్యాచరణ: మధ్యప్రాచ్యం దాటి కఠినమైనది
డిసెంబర్ 2025 చివరలో, ఇజ్రాయెల్లోని సమాచార సాంకేతిక సంస్థలు, నిర్వహించబడే సేవా ప్రదాతలు, మానవ వనరుల విభాగాలు మరియు సాఫ్ట్వేర్ అభివృద్ధి సంస్థలను లక్ష్యంగా చేసుకుని సంబంధిత చొరబాట్లలో RUSTRIC వాడకాన్ని పరిశోధకులు నివేదించారు. ఆ కార్యకలాపాల సమూహం UNG0801 మరియు ఆపరేషన్ ఐకాన్క్యాట్గా ట్రాక్ చేయబడుతోంది.
ఈ పరిశోధన ఫలితాలు రస్టీవాటర్ ఒక వివిక్త ప్రయోగం కాదని, మడ్డీవాటర్ యొక్క విస్తరిస్తున్న ప్రమాదకర టూల్కిట్లో క్రియాశీలక భాగమని నొక్కి చెబుతున్నాయి.
వ్యూహాత్మక చిక్కులు: మరింత పరిణతి చెందిన ప్రత్యర్థి
రస్టీవాటర్ ఆవిర్భావం, నిలకడ, మాడ్యులర్ విస్తరణ మరియు ఎగవేత కోసం రూపొందించబడిన ఉద్దేశ్యంతో నిర్మించిన మాల్వేర్లో మడ్డీవాటర్ యొక్క నిరంతర పెట్టుబడిని హైలైట్ చేస్తుంది. ఈ పురోగతి మరింత పరిణతి చెందిన కార్యాచరణ భంగిమను సూచిస్తుంది, బహిరంగ, స్క్రిప్ట్-భారీ కార్యాచరణకు బదులుగా నిశ్శబ్దంగా, దీర్ఘకాలిక ప్రాప్యతకు మద్దతు ఇచ్చే సాధనాలతో.
రక్షకుల కోసం, ఈ పరిణామం డాక్యుమెంట్-ఆధారిత ఫిషింగ్ ఎరలను పరిశీలించడం, రిజిస్ట్రీ-ఆధారిత నిలకడ విధానాలను పర్యవేక్షించడం మరియు అసాధారణ అవుట్బౌండ్ కనెక్షన్లను, ముఖ్యంగా కొత్తగా గమనించిన రస్ట్ మాల్వేర్ కుటుంబాలతో సంబంధం ఉన్న వాటిని నిశితంగా పరిశీలించాల్సిన అవసరాన్ని బలోపేతం చేస్తుంది.
