被称为泥水坑(MuddyWater) 的伊朗威胁行为体,近期针对中东地区的外交、海事、金融以及电信领域机构发起鱼叉式钓鱼攻击活动,所使用的攻击载荷是一款基于 Rust 语言开发的植入程序,代号为锈水(RustyWater) 。
“该攻击活动通过图标欺骗和恶意 Word 文档来投递这款 Rust 植入程序,此程序具备异步命令与控制(C2)、反分析、注册表持久化,以及模块化的入侵后功能扩展能力。” 云安实验室(CloudSEK)研究员普拉杰沃尔・阿瓦斯蒂(Prajwal Awasthi)在本周发布的一份报告中指出。
这一最新动向,体现出泥水坑组织攻击手段的持续演变:该组织已逐步减少对合法远程访问软件的依赖,不再将其作为入侵后工具,转而构建起多样化的定制恶意软件武器库,其中包含 “凤凰(Phoenix)”“UDP 匪徒(UDPGangster)”“虫眠(BugSleep,又称泥腐木马)” 以及 “泥蝰(MuddyViper)” 等多款工具。
该黑客组织还有多个追踪代号,包括芒果沙暴(Mango Sandstorm) 、静态小猫(Static Kitten) 和TA450 ,经研判隶属于伊朗情报与安全部(MOIS),其活跃历史至少可追溯至 2017 年。
锈水木马的攻击链流程十分明确:攻击者发送伪装成网络安全指南的鱼叉式钓鱼邮件,邮件附件为一个 Microsoft Word 文档。受害者打开文档后,会被诱导点击 “启用内容”,这一操作会触发恶意 VBA 宏的执行,进而完成 Rust 植入程序二进制文件的部署。
这款植入程序也被称作射手远程访问木马(Archer RAT) 和RUSTRIC ,其功能包括:收集受害主机信息、检测已安装的安全软件、通过写入 Windows 注册表项实现持久化驻留,同时与命令与控制(C2)服务器(域名:nomercys.it [.] com)建立连接,以此支持文件操作与命令执行等后续攻击行为。
需要重点关注的是,上月末赛科特实验室(Seqrite Labs)曾通报过RUSTRIC 的相关攻击活动:该恶意程序被用于针对以色列的信息技术(IT)企业、托管服务提供商(MSP)、人力资源公司以及软件开发企业发起攻击。赛科特实验室已将该攻击活动标记为UNG0801 和图标猫行动(Operation IconCat) ,并持续开展追踪分析。
“从历史来看,泥水坑组织在初始访问和入侵后操作阶段,一直依赖 PowerShell 和 VBS 加载器。” 云安实验室表示,“而这款 Rust 植入程序的推出,标志着其工具链迎来显著升级,朝着架构更规整、模块化程度更高、隐蔽性更强的远程访问木马(RAT) 能力方向发展。”
发表评论
您还未登录,请先登录。
登录