RustyWater RAT

翻譯為：

與伊朗有關的網路威脅組織 MuddyWater 被指發動了一場針對中東地區外交、海事、金融和電信機構的新型魚叉式網路釣魚攻擊。這次攻擊的核心是一款名為 RustyWater 的基於 Rust 語言的植入程序，這標誌著該組織在向定制惡意軟體方向穩步演進的又一階段。

MuddyWater 也曾使用 Mango Sandstorm、Static Kitten 和 TA450 等名稱，據廣泛評估，該組織受伊朗情報與安全部 (MOIS) 指使。該組織至少從 2017 年起就十分活躍，並持續將目標鎖定在地區政府和私營部門。

攻擊鏈相對簡單但效果顯著。受害者會收到偽裝成官方網路安全指南的魚叉式網路釣魚郵件。這些郵件包含一個惡意 Microsoft Word 附件，該附件利用圖示欺騙技術使其看起來合法。

當文件開啟時，使用者會被提示「啟用內容」。接受此請求會觸發一個惡意 VBA 巨集，該巨集會投放並執行基於 Rust 的有效載荷。這一社會工程步驟對於攻擊活動的成功至關重要。

RustyWater，又名 Archer RAT 或 RUSTRIC，是一款模組化遠端存取木馬，設計隱蔽靈活。一旦部署，它會收集受感染系統的詳細信息，檢查已安裝的安全性產品，並透過 Windows 註冊表項建立持久性。

植入體隨後與位於“nomercys.it[.]com”的命令與控制伺服器建立通信，實現非同步互動。透過此通道，操作人員可以執行命令、管理文件，並透過附加模組擴展功能，從而支援長期的入侵後行動。

歷史上，MuddyWater 組織曾經大量依賴 PowerShell 和 VBS 載入器以及合法的遠端存取工具來進行初始存取和後續活動。隨著時間的推移，該組織有意減少了對合法遠端存取工具的依賴，轉而開發日益豐富的客製化惡意軟體。

這個客製化生態系統包含 Phoenix、UDPGangster、BugSleep（也稱為 MuddyRot）和 MuddyViper 等工具。採用基於 Rust 的植入程序反映出一種趨勢，即朝著更結構化、模組化和低雜訊的方向發展，這些特性使得分析和檢測更加困難。

2025年12月下旬，研究人員報告稱，RUSTRIC被用於一系列針對以色列資訊科技公司、託管服務提供商、人力資源部門和軟體開發公司的相關入侵事件。該系列活動被追蹤為UNG0801和Operation IconCat。

這些發現表明，RustyWater 不是一個孤立的實驗，而是 MuddyWater 不斷擴大的進攻工具包中的一個活躍組成部分。

RustyWater 的出現凸顯了 MuddyWater 對專用惡意軟體的持續投入，這些惡意軟體旨在實現持久化、模組化擴展和規避攻擊。這項進展顯示其營運策略更加成熟，其工具支援更隱密、更長期的訪問，而非公開的、腳本密集活動。

對於防禦者而言，這種演變強化了仔細審查基於文件的網路釣魚誘餌、監控基於註冊表的持久性機制以及密切檢查異常出站連接（特別是與新發現的 Rust 惡意軟體家族相關的連接）的必要性。

搜索