RustyWater RAT
Злочинця, пов'язаного з Іраном, широко відомого як MuddyWater, приписують новій фішинговій кампанії, спрямованій на дипломатичні, морські, фінансові та телекомунікаційні організації по всьому Близькому Сходу. Діяльність зосереджена на імплантаті на базі Rust під назвою RustyWater, що є ще одним кроком у стабільній еволюції угруповання до створення шкідливого програмного забезпечення на замовлення.
MuddyWater, яку також відстежують під назвами Mango Sandstorm, Static Kitten та TA450, за численними оцінками, діє від імені Міністерства розвідки та безпеки Ірану (MOIS). Група діє щонайменше з 2017 року та постійно зосереджується на цілях регіонального уряду та приватного сектору.
Зміст
Вектор зараження: документи, що використовуються як зброя, та візуальний обман
Ланцюг атаки відносно простий, але ефективний. Жертви отримують фішингові електронні листи, оформлені під офіційні рекомендації з кібербезпеки. Ці повідомлення містять шкідливе вкладення Microsoft Word, яке використовує підробку значків, щоб виглядати легітимним.
Коли документ відкривається, користувачеві пропонується «Увімкнути вміст». Прийняття цього запиту запускає шкідливий макрос VBA, який видаляє та виконує корисне навантаження на основі Rust. Цей крок соціальної інженерії залишається критично важливим для успіху кампанії.
Можливості шкідливого програмного забезпечення: всередині імплантату RustyWater
RustyWater, також відомий як Archer RAT або RUSTRIC, функціонує як модульний троян віддаленого доступу, розроблений для прихованості та гнучкості. Після розгортання він збирає детальну інформацію про заражену систему, перевіряє наявність встановлених продуктів безпеки та встановлює стійкість через розділ реєстру Windows.
Потім імплантат ініціює зв'язок із сервером командного управління за адресою «nomercys.it[.]com», що забезпечує асинхронну взаємодію. Через цей канал оператори можуть виконувати команди, керувати файлами та розширювати функціональність за допомогою додаткових модулів, підтримуючи довгострокові операції після компрометації.
Еволюція ремесел: від життя за рахунок землі до виготовлення інструментів на замовлення
Історично MuddyWater значною мірою покладалася на завантажувачі PowerShell та VBS, а також на легітимні інструменти віддаленого доступу, як для здійснення початкового доступу, так і для подальшої діяльності. З часом група навмисно зменшила цю залежність на користь зростаючого портфоліо спеціалізованих шкідливих програм.
Ця користувацька екосистема включає такі інструменти, як Phoenix, UDPGangster, BugSleep (також відомий як MuddyRot) та MuddyViper. Впровадження імплантів на основі Rust відображає перехід до більш структурованих, модульних та тихіших можливостей, які важче аналізувати та виявляти.
Ширша діяльність: RUSTRIC За межами Близького Сходу
Наприкінці грудня 2025 року дослідники повідомили про використання RUSTRIC у пов'язаному наборі вторгнень, спрямованих на фірми інформаційних технологій, постачальників керованих послуг, відділи кадрів та компанії з розробки програмного забезпечення в Ізраїлі. Цей кластер активності відстежується як UNG0801 та операція IconCat.
Ці висновки підкреслюють, що RustyWater — це не ізольований експеримент, а активний компонент розширюваного наступального інструментарію MuddyWater.
Стратегічні наслідки: більш зрілий супротивник
Поява RustyWater свідчить про постійні інвестиції MuddyWater у спеціально розроблене шкідливе програмне забезпечення, призначене для стійкості, модульного розширення та уникнення. Цей прогрес сигналізує про більш зрілу операційну позицію з інструментами, що підтримують тихіший, довгостроковий доступ, а не явну, перевантажену скриптами активність.
Для захисників ця еволюція підсилює необхідність ретельно вивчати фішингові приманки на основі документів, контролювати механізми збереження даних на основі реєстру та ретельно перевіряти незвичайні вихідні з’єднання, особливо ті, що пов’язані з нещодавно виявленими сімействами шкідливих програм Rust.
