RustyWater RAT
กลุ่มแฮกเกอร์ที่เชื่อมโยงกับอิหร่านซึ่งรู้จักกันทั่วไปในชื่อ MuddyWater ถูกกล่าวหาว่าเป็นผู้ก่อเหตุโจมตีแบบ Spear-phishing ครั้งใหม่ที่มุ่งเป้าไปที่องค์กรทางการทูต การเดินเรือ การเงิน และโทรคมนาคมทั่วตะวันออกกลาง กิจกรรมดังกล่าวใช้มัลแวร์ที่เขียนด้วยภาษา Rust ชื่อ RustyWater ซึ่งถือเป็นอีกก้าวหนึ่งของการพัฒนาอย่างต่อเนื่องของกลุ่มนี้ไปสู่การสร้างมัลแวร์เฉพาะกิจ
กลุ่ม MuddyWater ซึ่งถูกติดตามภายใต้ชื่อ Mango Sandstorm, Static Kitten และ TA450 นั้น ถูกประเมินอย่างกว้างขวางว่าปฏิบัติการในนามของกระทรวงข่าวกรองและความมั่นคงแห่งอิหร่าน (MOIS) กลุ่มนี้เคลื่อนไหวมาอย่างน้อยตั้งแต่ปี 2017 และยังคงมุ่งเป้าไปที่หน่วยงานรัฐบาลและภาคเอกชนในภูมิภาคอย่างต่อเนื่อง
สารบัญ
พาหะนำโรค: เอกสารที่ถูกดัดแปลงเป็นอาวุธและการหลอกลวงทางภาพ
กระบวนการโจมตีค่อนข้างเรียบง่ายแต่ได้ผลดี เหยื่อจะได้รับอีเมลสเปียร์ฟิชชิ่งที่ออกแบบมาให้ดูเหมือนคำแนะนำด้านความปลอดภัยทางไซเบอร์อย่างเป็นทางการ ข้อความเหล่านี้มีไฟล์แนบเป็นเอกสาร Microsoft Word ที่เป็นอันตราย ซึ่งใช้เทคนิคการปลอมแปลงไอคอนเพื่อให้ดูเหมือนของจริง
เมื่อเปิดเอกสาร ระบบจะแจ้งให้ผู้ใช้ "เปิดใช้งานเนื้อหา" การยอมรับคำขอนี้จะกระตุ้นมาโคร VBA ที่เป็นอันตราย ซึ่งจะติดตั้งและเรียกใช้เพย์โหลดที่เขียนด้วยภาษา Rust ขั้นตอนนี้นับเป็นกลอุบายทางสังคมที่สำคัญต่อความสำเร็จของแคมเปญ
ความสามารถของมัลแวร์: เจาะลึกเข้าไปในอิมแพลนต์ RustyWater
RustyWater หรือที่รู้จักกันในชื่อ Archer RAT หรือ RUSTRIC เป็นมัลแวร์ประเภทโทรจันสำหรับเข้าถึงระบบจากระยะไกลแบบโมดูลาร์ ออกแบบมาเพื่อการซ่อนตัวและความยืดหยุ่น เมื่อติดตั้งแล้ว มันจะรวบรวมข้อมูลโดยละเอียดเกี่ยวกับระบบที่ติดเชื้อ ตรวจสอบผลิตภัณฑ์รักษาความปลอดภัยที่ติดตั้งไว้ และสร้างการคงอยู่ถาวรผ่านคีย์รีจิสทรีของ Windows
จากนั้นอุปกรณ์ฝังตัวจะเริ่มต้นการสื่อสารกับเซิร์ฟเวอร์ควบคุมและสั่งการที่ 'nomercys.it[.]com' ซึ่งช่วยให้สามารถโต้ตอบแบบอะซิงโครนัสได้ ผ่านช่องทางนี้ ผู้ปฏิบัติงานสามารถดำเนินการคำสั่ง จัดการไฟล์ และขยายฟังก์ชันการทำงานผ่านโมดูลเพิ่มเติม ซึ่งสนับสนุนการปฏิบัติการหลังการโจมตีในระยะยาว
วิวัฒนาการของงานฝีมือ: จากการดำรงชีวิตด้วยทรัพยากรธรรมชาติ สู่การสร้างเครื่องมือเฉพาะทาง
ในอดีต MuddyWater พึ่งพาโปรแกรมโหลด PowerShell และ VBS อย่างมาก รวมถึงเครื่องมือเข้าถึงระยะไกลที่ถูกต้องตามกฎหมาย เพื่อดำเนินการทั้งในการเข้าถึงครั้งแรกและกิจกรรมต่อเนื่อง แต่เมื่อเวลาผ่านไป กลุ่มนี้ได้ลดการพึ่งพาเครื่องมือเหล่านั้นลงอย่างจงใจ และหันมาพัฒนาโปรแกรมมัลแวร์ที่ออกแบบมาโดยเฉพาะมากขึ้นแทน
ระบบนิเวศที่ปรับแต่งเองนี้ประกอบด้วยเครื่องมือต่างๆ เช่น Phoenix, UDPGangster, BugSleep (หรือเรียกอีกชื่อว่า MuddyRot) และ MuddyViper การนำอิมแพลนต์ที่ใช้ Rust มาใช้สะท้อนให้เห็นถึงการเปลี่ยนแปลงไปสู่ความสามารถที่มีโครงสร้างมากขึ้น เป็นแบบโมดูลาร์ และมีสัญญาณรบกวนน้อยลง ซึ่งยากต่อการวิเคราะห์และตรวจจับ
กิจกรรมในวงกว้าง: RUSTRIC นอกเหนือจากตะวันออกกลาง
ในช่วงปลายเดือนธันวาคม 2025 นักวิจัยรายงานการใช้ RUSTRIC ในการโจมตีกลุ่มหนึ่งที่มุ่งเป้าไปที่บริษัทเทคโนโลยีสารสนเทศ ผู้ให้บริการจัดการระบบ ฝ่ายทรัพยากรบุคคล และบริษัทพัฒนาซอฟต์แวร์ในอิสราเอล กลุ่มกิจกรรมดังกล่าวถูกติดตามในชื่อ UNG0801 และปฏิบัติการ IconCat
ผลการค้นพบเหล่านี้เน้นย้ำว่า RustyWater ไม่ใช่การทดลองที่แยกเดี่ยว แต่เป็นส่วนประกอบสำคัญของชุดเครื่องมือเชิงรุกที่กำลังขยายตัวของ MuddyWater
นัยสำคัญเชิงกลยุทธ์: ศัตรูที่เติบโตเป็นผู้ใหญ่มากขึ้น
การปรากฏตัวของ RustyWater เน้นย้ำถึงการลงทุนอย่างต่อเนื่องของ MuddyWater ในมัลแวร์ที่ออกแบบมาโดยเฉพาะเพื่อความคงทน การขยายตัวแบบโมดูลาร์ และการหลบเลี่ยงการตรวจจับ ความก้าวหน้านี้บ่งชี้ถึงท่าทีการปฏิบัติงานที่เติบโตเต็มที่มากขึ้น ด้วยเครื่องมือที่สนับสนุนการเข้าถึงที่เงียบกว่าและยาวนานกว่า แทนที่จะเป็นกิจกรรมที่เปิดเผยและใช้สคริปต์จำนวนมาก
สำหรับฝ่ายป้องกัน การเปลี่ยนแปลงนี้ตอกย้ำความจำเป็นในการตรวจสอบเหยื่อล่อฟิชชิงที่ใช้เอกสารเป็นหลัก เฝ้าระวังกลไกการคงอยู่ของมัลแวร์ในรีจิสทรี และตรวจสอบการเชื่อมต่อขาออกที่ผิดปกติอย่างใกล้ชิด โดยเฉพาะอย่างยิ่งการเชื่อมต่อที่เกี่ยวข้องกับตระกูลมัลแวร์ Rust ที่เพิ่งค้นพบใหม่
