MuddyWater通过鱼叉式钓鱼在中东部门部署RustyWater RAT

伊朗威胁组织MuddyWater被确认发起了一场针对中东地区外交、海事、金融和电信实体的鱼叉式钓鱼活动，活动中使用了一款基于Rust语言、代号为RustyWater的植入程序。

CloudSEK的研究员Prajwal Awasthi在本周发布的一份报告中指出：“该活动使用图标欺骗和恶意Word文档来投递基于Rust的植入程序，这些植入程序具备异步C2通信、反分析、注册表持久化和模块化事后能力扩展的功能。”

威胁组织背景与工具演进

MuddyWater，亦被追踪为Mango Sandstorm、Static Kitten和TA450，据评估隶属于伊朗情报与安全部，至少自2017年便开始活跃。
此最新动态反映了MuddyWater攻击手段的持续演变。该组织已逐渐但稳步地减少了对合法远程访问软件作为漏洞利用后工具的依赖，转而采用多样化的自定义恶意软件库，其中包括Phoenix、UDPGangster、BugSleep（又名MuddyRot）和MuddyViper等工具。

攻击初始向量：传播RustyWater的攻击链相当直接。鱼叉式钓鱼邮件伪装成网络安全指南，附带一个Microsoft Word文档。当受害者打开文档并按照提示"启用内容"后，便会激活一个恶意VBA宏的执行，该宏负责部署Rust植入程序的二进制文件。
RustyWater的功能：
- 该植入程序也被称为Archer RAT和RUSTRIC。
- 它会收集受害者机器的信息，检测已安装的安全软件。
- 通过Windows注册表键建立持久化机制。
- 与命令与控制服务器建立联系以方便文件操作和命令执行。报告中提到的一个C2服务器域名为 nomercys.it[.]com。
相关活动与战术转变：
- 值得注意的是，Seqrite Labs在上个月末就曾标记出RUSTRIC的使用，其攻击目标包括以色列的信息技术公司、托管服务提供商、人力资源和软件开发公司。这家网络安全公司将这些活动追踪命名为UNG0801和Operation IconCat。
- CloudSEK表示：“历史上，MuddyWater一直依赖PowerShell和VBS加载程序进行初始访问和漏洞利用后操作。引入基于Rust的植入程序标志着其工具向更结构化、模块化和低噪声的RAT能力显著演进。”