技术摘要

被称为MuddyWater（亦名TA450、Mango Sandstorm、Static Kitten）的伊朗国家背景威胁组织，自至少2017年以来一直活跃。近期，他们部署了一种名为RustyWater（亦称Archer RAT或RUSTRIC）的新型远程访问木马，该木马使用Rust语言编写，标志着其恶意软件工具集的重大演进。

攻击链始于伪装成网络安全指南的鱼叉式钓鱼邮件，其中包含使用图标欺骗技术使其看起来合法的恶意Microsoft Word文档。当受害者打开这些文档并启用宏时，会执行一个VBA宏来部署RustyWater植入二进制文件。

RustyWater专为隐秘性和持久性而设计：它执行异步C2通信以避免检测，采用反分析技术阻碍取证调查，并通过Windows注册表项建立持久性。该RAT是模块化的，允许攻击者在入侵后扩展能力，包括文件操作和命令执行。它还会收集详细的受害者机器信息并检测已安装的安全软件，以调整其行为。C2基础设施包括诸如nomercys.it[.]com等域名。

此次行动针对中东的敏感部门，包括外交、海事、金融和电信组织，此外还观察到针对以色列IT、MSP、HR和软件开发公司的活动。转向基于Rust的植入程序表明MuddyWater意图开发更具结构性、高效且低噪音的恶意软件，减少对先前使用的PowerShell和VBS加载器的依赖。目前尚无公开漏洞利用或大规模感染的报告，但此次行动展示了专注于网络间谍和信息收集的高级持续性威胁能力。

潜在影响

对于欧洲组织，由于其主要针对中东部门，该威胁的直接影响目前有限。然而，与中东有联系或业务的欧洲外交使团、海事公司、金融机构和电信提供商可能面临溢出攻击或次要目标的风险。RustyWater RAT的隐秘持久性、模块化扩展和异步C2通信能力，使攻击者能够维持长期访问，可能导致数据泄露、间谍活动和关键服务中断。使用具有说服力的社会工程的鱼叉式钓鱼增加了初始入侵的可能性。

如果欧洲组织成为目标，特别是那些与伊朗或中东有地缘政治或经济关系的组织，该威胁可能会危及敏感信息和知识产权。此外，为中东客户服务的欧洲托管服务提供商和IT公司可能被用作攻击载体。RustyWater的模块化特性意味着攻击者可以针对特定目标调整有效载荷，从而增加针对高价值欧洲资产的定制攻击风险。

缓解建议

欧洲组织应针对鱼叉式钓鱼活动实施针对性防御，包括能够检测图标欺骗和恶意宏的高级电子邮件过滤。用户意识培训必须强调在未经请求的文档（尤其是那些声称是网络安全指南的文档）中启用宏的风险。应调整端点检测和响应解决方案，以检测基于Rust的恶意软件行为，例如异步网络通信和注册表持久化机制。网络监控应包括对异常C2流量模式（特别是流向如nomercys.it等可疑域名的流量）的异常检测。组织应进行威胁搜寻演练，重点关注与MuddyWater已知战术、技术和程序相关的入侵指标。通过组策略和应用程序白名单限制宏执行可以减少攻击面。对于MSP和IT服务提供商，严格的分段和监控客户环境对于防止横向移动至关重要。应更新事件响应计划以应对基于Rust的植入程序和模块化RAT。与区域网络安全信息共享组织合作，可以提供关于MuddyWater新兴活动的及时情报。

受影响国家

以色列、阿拉伯联合酋长国、沙特阿拉伯、卡塔尔、土耳其、法国、德国、英国、意大利