Связанная с Ираном группа постоянных угроз (APT) MuddyWater развернула имплантат на языке Rust в ходе продолжающейся шпионской кампании, нацеленной на организации в Израиле и других странах Ближнего Востока, по данным CloudSEK.
Команда TRIAD из CloudSEK сообщила об обнаружении кампании по целенаправленному фишингу, направленной на дипломатические, морские, финансовые и телекоммуникационные структуры на Ближнем Востоке. Кампания использует подмену значков и вредоносные документы Word для доставки RustyWater, который исследователи охарактеризовали как «имплантат на основе Rust, представляющий собой значительное усовершенствование их традиционного набора инструментов».
«Исторически Muddy Water полагалась на загрузчики PowerShell и VBS для первоначального доступа и операций после компрометации», — написала фирма по кибербезопасности в своем блоге. «Внедрение имплантатов на основе Rust знаменует собой заметную эволюцию инструментов в сторону более структурированных, модульных возможностей RAT с низким уровнем шума».
MuddyWater, которую Microsoft отслеживает как Mango Sandstorm, а ProofPoint идентифицирует как TA450, действует под эгидой Министерства разведки и безопасности Ирана, согласно заявлению Агентства по кибербезопасности США CISA. По данным фирм по безопасности, группа активна как минимум с 2017 года, нацеливаясь на государственные учреждения, операторов телекоммуникационных сетей и критически важную инфраструктуру на Ближнем Востоке, в Азии и Европе.
Исследование проводится на фоне продолжающейся активности MuddyWater в течение 2024 года и в начале 2025 года. Исследователи ESET опубликовали в декабре 2024 года данные, показывающие, что группа развернула бэкдор MuddyViper против израильских организаций в период с сентября 2024 года по март 2025 года. Фирмы по безопасности также задокументировали развертывание группой MuddyWater имплантатов BugSleep и использование легитимных инструментов удаленного мониторинга и управления в недавних кампаниях.
Доставка через целенаправленный фишинг
Цепочка атаки начинается с электронных писем для целенаправленного фишинга, содержащих вредоносные ZIP-архивы, согласно сообщению в блоге. Архивы включают легитимный PDF-документ и замаскированный исполняемый файл с иконкой PDF. Когда жертва запускает файл, отображается поддельный PDF, в то время как вредоносное ПО выполняется, написали исследователи.
Они отметили, что начальный загрузчик обеспечивает постоянство через модификации реестра Windows и развертывает RustyWater в качестве вторичной полезной нагрузки. Имплантат взаимодействует с инфраструктурой командно-контрольного центра, используя протоколы HTTP/HTTPS, и поддерживает перечисление файловой системы, выполнение команд и эксфильтрацию данных.
CloudSEK обнаружила домены командно-контрольных центров, имитирующие легитимные сервисы, включая инфраструктуру, замаскированную под платформы Dropbox и WordPress. Некоторые домены были зарегистрированы через Hostinger, хостинг-провайдера, который, по утверждению фирмы по кибербезопасности, часто злоупотреблялся злоумышленниками.
Rust предоставляет преимущества в обходе защиты
Исследователи CloudSEK заявили, что RustyWater был разработан на Rust, который, по их словам, все чаще используется авторами вредоносного ПО благодаря функциям безопасности памяти и кроссплатформенным возможностям, согласно сообщению в блоге. Другие государственные группы, включая российскую Gossamer Bear и связанных с Китаем акторов, также развертывали вредоносное ПО на основе Rust в недавних кампаниях, по данным исследователей безопасности.
Имплантат включает проверки на наличие сред виртуальных машин, инструментов отладки и песочниц. «RustyWater начинает выполнение с установки механизмов защиты от отладки и изменения», — написали исследователи. «Он регистрирует обработчик векторизованных исключений (VEH) для перехвата попыток отладки и систематически собирает информацию о машине жертвы, включая имя пользователя, имя компьютера и членство в домене».
RustyWater также использует обфускацию строк и многоступенчатую доставку полезной нагрузки, сообщили исследователи. Вредоносное ПО шифрует все строки с помощью независимого от позиции XOR-шифрования и реализует случайные интервалы сна между вызовами командно-контрольного центра для избежания обнаружения, согласно сообщению в блоге.
Более широкое нацеливание
CloudSEK сообщила, что их расследование сосредоточено в первую очередь на целях в Израиле, но исследователи обнаружили признаки того, что MuddyWater могла расширить свою деятельность, включив жертв в Индии, ОАЭ и других странах региона.
В сообщении в блоге добавлено, что кампания, нацеленная на израильские структуры, использовала документы-приманки на иврите, связанные с государственными учреждениями и Армией обороны Израиля.
По данным исследователей безопасности, MuddyWater сосредоточена на шпионских операциях, направленных на сбор государственной и военной разведки. Предыдущие кампании, приписываемые этой группе, использовали различные инструменты удаленного доступа и собственные семейства вредоносного ПО, включая фреймворк командно-контрольного центра PhonyC2 и легитимные инструменты удаленного администрирования, такие как SimpleHelp.
В ноябре 2024 года Amazon Threat Intelligence связала активность MuddyWater с последующими ракетными ударами, продемонстрировав, что группа получила доступ к скомпрометированным серверам с прямыми видеотрансляциями с камер видеонаблюдения перед атаками в Израиле и Красном море. CloudSEK рекомендовала организациям внедрить средства контроля безопасности электронной почты, проводить обучение осведомленности о безопасности, чтобы помочь сотрудникам распознавать фишинговые попытки, и развертывать решения для обнаружения и реагирования на конечных точках, способные выявлять подозрительное поведение процессов и сетевые коммуникации.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Gyana Swain
