RustyWater RAT

翻译为：

与伊朗有关联的网络威胁组织 MuddyWater 被指发起了一场针对中东地区外交、海事、金融和电信机构的新型鱼叉式网络钓鱼攻击。此次攻击的核心是一款名为 RustyWater 的基于 Rust 语言的植入程序，这标志着该组织在向定制恶意软件方向稳步演进的又一阶段。

MuddyWater 也曾使用过 Mango Sandstorm、Static Kitten 和 TA450 等名称，据广泛评估，该组织受伊朗情报与安全部 (MOIS) 指使。该组织至少从 2017 年起就十分活跃，并持续将目标锁定在地区政府和私营部门。

攻击链相对简单但效果显著。受害者会收到伪装成官方网络安全指南的鱼叉式网络钓鱼邮件。这些邮件包含一个恶意 Microsoft Word 附件，该附件利用图标欺骗技术使其看起来合法。

当文档打开时，用户会被提示“启用内容”。接受此请求会触发一个恶意 VBA 宏，该宏会投放并执行基于 Rust 的有效载荷。这一社会工程步骤对于攻击活动的成功至关重要。

RustyWater，又名 Archer RAT 或 RUSTRIC，是一款模块化远程访问木马，设计隐蔽灵活。一旦部署，它会收集受感染系统的详细信息，检查已安装的安全产品，并通过 Windows 注册表项建立持久性。

植入体随后与位于“nomercys.it[.]com”的命令与控制服务器建立通信，实现异步交互。通过此通道，操作人员可以执行命令、管理文件，并通过附加模块扩展功能，从而支持长期的入侵后行动。

历史上，MuddyWater 组织曾大量依赖 PowerShell 和 VBS 加载器以及合法的远程访问工具来进行初始访问和后续活动。随着时间的推移，该组织有意减少了对合法远程访问工具的依赖，转而开发日益丰富的定制恶意软件。

这个定制生态系统包含 Phoenix、UDPGangster、BugSleep（也称 MuddyRot）和 MuddyViper 等工具。采用基于 Rust 的植入程序反映出一种趋势，即朝着更结构化、模块化和低噪声的方向发展，这些特性使得分析和检测更加困难。

2025年12月下旬，研究人员报告称，RUSTRIC被用于一系列针对以色列信息技术公司、托管服务提供商、人力资源部门和软件开发公司的相关入侵事件中。该系列活动被追踪为UNG0801和Operation IconCat。

这些发现表明，RustyWater 不是一个孤立的实验，而是 MuddyWater 不断扩大的进攻工具包中的一个活跃组成部分。

RustyWater 的出现凸显了 MuddyWater 对专用恶意软件的持续投入，这些恶意软件旨在实现持久化、模块化扩展和规避攻击。这一进展表明其运营策略更加成熟，其工具支持更隐蔽、更长期的访问，而非公开的、脚本密集型活动。

对于防御者而言，这种演变强化了仔细审查基于文档的网络钓鱼诱饵、监控基于注册表的持久性机制以及密切检查异常出站连接（特别是与新发现的 Rust 恶意软件家族相关的连接）的必要性。

搜索