Иранската групировка MuddyWater продължава да развива инструментариума си с нов Rust‑базиран троянец за отдалечен достъп, наречен RustyWater. Кампанията е насочена към дипломатически, морски, финансови и телекомуникационни организации в Близкия изток и използва добре познатата тактика на прецизно таргетирани spear‑phishing атаки.
Атаките започват с имейли, които се представят като официални насоки за киберсигурност. Прикрепеният Word документ изглежда безобиден, но при отваряне подканва жертвата да активира съдържанието. Това стартира VBA макро, което незабавно разгръща RustyWater на системата. Този подход е характерен за MuddyWater, но новият елемент е самият имплант — написан на Rust и значително по-модулен от предишните им инструменти, съобщава Prajwal Awasthi от CloudSEK.
RustyWater, известен още като Archer RAT или RUSTRIC, събира системна информация, проверява какви защитни решения са инсталирани, създава постоянство чрез ключ в Windows Registry и установява връзка с C2 сървър за изпълнение на команди и файлови операции. Това е ясен знак, че групировката се отдалечава от старите си PowerShell и VBS зареждащи скриптове и преминава към по-тихи, по-структурирани и по-трудни за анализ инструменти.
През последните години MuddyWater постепенно замени използването на легитимни инструменти за отдалечен достъп с цяла колекция от собствени зловредни програми — Phoenix, UDPGangster, BugSleep (MuddyRot), MuddyViper и други. RustyWater е поредната стъпка в тази еволюция.
Групировката е известна и под имената Mango Sandstorm, Static Kitten и TA450 и се смята за свързана с иранското Министерство на разузнаването и сигурността. Активна е поне от 2017 г., а последните кампании показват, че продължава да разширява обхвата си. RustyWater вече е засечен и в атаки срещу IT компании, MSP доставчици, HR отдели и софтуерни фирми в Израел.
Новият имплант подсказва, че MuddyWater се стреми към по-устойчиви, по-гъвкави и по-малко шумни RAT решения — тенденция, която вероятно ще продължи и в бъдещи кампании.
