De Iraanse bedreigingsacteur, bekend als MuddyWater, wordt toegeschreven aan een spearphishing-campagne gericht op diplomatieke, maritieme, financiële en telecomentiteiten in het Midden-Oosten met een op Rust gebaseerd implantaat met de codenaam RoestigWater.
“De campagne maakt gebruik van icon-spoofing en kwaadaardige Word-documenten om op Rust gebaseerde implantaten te leveren die in staat zijn tot asynchrone C2, anti-analyse, registerpersistentie en modulaire uitbreiding van post-compromismogelijkheden”, zei CloudSEK-resetter Prajwal Awasthi in een rapport dat deze week werd gepubliceerd.
De nieuwste ontwikkeling weerspiegelt de voortdurende evolutie van het vak van MuddyWater, waardoor de afhankelijkheid van legitieme software voor externe toegang als post-exploitatietool geleidelijk maar gestaag is verminderd ten gunste van een divers malwarearsenaal, bestaande uit tools als Phoenix, UDPGangster, BugSleep (ook bekend als MuddyRot) en MuddyViper.
De hackgroep, ook gevolgd als Mango Sandstorm, Static Kitten en TA450, wordt geacht banden te hebben met het Iraanse Ministerie van Inlichtingen en Veiligheid (MOIS). Het is in ieder geval sinds 2017 operationeel.
Aanvalsketens die RustyWater verspreiden zijn redelijk eenvoudig: spearphishing-e-mails die zich voordoen als cyberbeveiligingsrichtlijnen worden aangevallen met een Microsoft Word-document dat, wanneer het wordt geopend, het slachtoffer de opdracht geeft om “inhoud in te schakelen” om de uitvoering van een kwaadaardige VBA-macro te activeren die verantwoordelijk is voor het inzetten van het binaire bestand Rust-implantaat.
RustyWater, ook wel Archer RAT en RUSTRIC genoemd, verzamelt informatie over de machine van het slachtoffer, detecteert geïnstalleerde beveiligingssoftware, stelt persistentie in door middel van een Windows-registersleutel en brengt contact tot stand met een command-and-control (C2)-server (“nomercys.it(.)com”) om bestandsbewerkingen en opdrachtuitvoering te vergemakkelijken.
Het is vermeldenswaard dat het gebruik van RUSTRIC eind vorige maand door Seqrite Labs werd gemarkeerd als onderdeel van aanvallen gericht op informatietechnologie (IT), Managed Service Providers (MSP’s), HR en softwareontwikkelingsbedrijven in Israël. De activiteit wordt gevolgd door het cyberbeveiligingsbedrijf onder de namen UNG0801 en Operation IconCat.
“Historisch gezien vertrouwde MuddyWater op PowerShell- en VBS-laders voor initiële toegang en operaties na een compromittering”, aldus CloudSEK. “De introductie van op Rust gebaseerde implantaten vertegenwoordigt een opmerkelijke evolutie van het gereedschap in de richting van meer gestructureerde, modulaire en geluidsarme RAT-mogelijkheden.”
