Nhóm tác nhân đe dọa Iran được biết đến với tên MuddyWater đã bị quy kết đứng sau một chiến dịch spear-phishing nhắm vào các thực thể ngoại giao, hàng hải, tài chính và viễn thông ở Trung Đông bằng một implant dựa trên Rust có tên mã RustyWater.
"Chiến dịch này sử dụng kỹ thuật mạo danh biểu tượng (icon spoofing) và các tài liệu Word độc hại để phân phối các implant dựa trên Rust có khả năng C2 không đồng bộ, chống phân tích, duy trì quyền truy cập (registry persistence) và mở rộng khả năng hậu xâm nhập một cách mô-đun," chuyên gia Prajwal Awasthi của CloudSEK cho biết trong một báo cáo được công bố tuần này.
Sự phát triển mới nhất này phản ánh quá trình tiến hóa liên tục trong phương thức hoạt động của MuddyWater, nhóm này đã dần dần nhưng đều đặn giảm sự phụ thuộc vào phần mềm truy cập từ xa hợp pháp như một công cụ hậu khai thác, thay vào đó là một kho vũ khí malware đa dạng bao gồm các công cụ như Phoenix, UDPGangster, BugSleep (còn gọi là MuddyRot) và MuddyViper.
Cũng được theo dõi dưới các tên Mango Sandstorm, Static Kitten và TA450, nhóm hacker này được đánh giá là có liên kết với Bộ Tình báo và An ninh Iran (MOIS). Nhóm đã hoạt động từ ít nhất năm 2017.
Các chuỗi tấn công phân phối RustyWater khá đơn giản: các email spear-phishing mạo danh hướng dẫn an ninh mạng đính kèm một tài liệu Microsoft Word mà khi mở ra, sẽ hướng dẫn nạn nhân "Enable content" để kích hoạt việc thực thi một VBA macro độc hại chịu trách nhiệm triển khai binary implant Rust.
Cũng được gọi là Archer RAT và RUSTRIC, RustyWater thu thập thông tin máy nạn nhân, phát hiện phần mềm bảo mật đã cài đặt, thiết lập quyền truy cập bền bỉ (persistence) thông qua khóa Windows Registry và thiết lập liên lạc với máy chủ command-and-control (C2) ("nomercys.it[.]com") để thực hiện các thao tác tệp và thực thi lệnh.
Điều đáng chú ý là việc sử dụng RUSTRIC đã được ghi nhận bởi Seqrite Labs vào cuối tháng trước như một phần của các cuộc tấn công nhắm vào các công ty Information Technology (IT), Managed Service Providers (MSPs), nhân sự và phát triển phần mềm ở Israel. Hoạt động này đang được công ty an ninh mạng theo dõi dưới các tên UNG0801 và Operation IconCat.
"Trong lịch sử, MuddyWater đã dựa vào các loader PowerShell và VBS cho việc truy cập ban đầu và các hoạt động hậu xâm nhập," CloudSEK cho biết. "Việc giới thiệu các implant dựa trên Rust thể hiện một sự tiến hóa đáng chú ý trong bộ công cụ hướng tới các khả năng RAT có cấu trúc, mô-đun và ít gây tiếng ồn hơn."
