Nowe zagrożenie ze strony MuddyWater: kampania phishingowa z użyciem złośliwego oprogramowania RustyWater
Grupa hakerska MuddyWater, powiązana z Iranem, została zidentyfikowana jako sprawca kampanii spear-phishingowej, która celuje w dyplomatyczne, morskie, finansowe oraz telekomunikacyjne podmioty na Bliskim Wschodzie. W tej operacji wykorzystano implant złośliwego oprogramowania oparty na Rust, oznaczony nazwą RustyWater.
Jak podkreślił Prajwal Awasthi, ekspert CloudSEK, w raporcie opublikowanym w tym tygodniu, „kampania wykorzystuje spoofing ikon oraz złośliwe dokumenty Word do dostarczania implantów, które umożliwiają asynchroniczne połączenia C2, analizy antywirusowe, trwałość w rejestrze oraz modułowe rozszerzenia po kompromitacji.”
Ten najnowszy rozwój odzwierciedla ciągłą ewolucję metod działania MuddyWater, która stopniowo zmniejsza zależność od legalnego oprogramowania zdalnego dostępu na rzecz bogatego arsenału złośliwego oprogramowania obejmującego narzędzia takie jak Phoenix, UDPGangster, BugSleep (znane również jako MuddyRot) oraz MuddyViper.
Grupa ta, znana także jako Mango Sandstorm, Static Kitten oraz TA450, jest oceniana jako mająca powiązania z irańskim Ministerstwem Wywiadu i Bezpieczeństwa (MOIS) i działa od co najmniej 2017 roku.
Schemat ataku
Łańcuchy ataków wykorzystujących RustyWater są stosunkowo proste: maile spear-phishingowe podszywające się pod wytyczne dotyczące cyberbezpieczeństwa są przesyłane z załączonym dokumentem Microsoft Word, który po otwarciu instruuje ofiarę do „Włączenia zawartości”, co aktywuje wykonanie złośliwego makra VBA odpowiedzialnego za uruchomienie pliku binarnego z implantem Rust.
RustyWater, znany również jako Archer RAT i RUSTRIC, gromadzi informacje o ofiarze, sprawdza zainstalowane oprogramowanie zabezpieczające, zapewnia trwałość poprzez utworzenie klucza rejestracyjnego w systemie Windows i nawiązuje kontakt z serwerem dowodzenia i kontroli (C2) („nomercys.it[.]com”), aby ułatwić operacje plikowe i wykonywanie poleceń.
Czujność wobec zagrożeń w Izraelu
Warto zauważyć, że wykorzystanie RUSTRIC zostało zauważone przez laboratoria Seqrite pod koniec zeszłego miesiąca w ramach ataków na podmioty z sektora IT, dostawców usług zarządzanych (MSP), działów zasobów ludzkich oraz firmy zajmujące się rozwojem oprogramowania w Izraelu. Działania te są śledzone przez firmę zajmującą się cyberbezpieczeństwem pod nazwami UNG0801 i Operation IconCat.
„Historycznie, MuddyWater polegał na loaderach PowerShell i VBS podczas uzyskiwania początkowego dostępu oraz działań po kompromitacji,” podano w oświadczeniu CloudSEK. „Wprowadzenie implantów opartych na Rust stanowi znaczący krok w ewolucji narzędzi ku bardziej zorganizowanym, modułowym i cichym możliwościom RAT.”
