网络安全公司 CloudSEK 近日披露,与伊朗有关的高级持续性威胁组织 MuddyWater 在针对以色列及中东多国开展的间谍行动中,开始使用 Rust 编写的新型恶意植入程序。
CloudSEK 的 TRIAD 团队指出,该组织通过鱼叉式钓鱼邮件瞄准中东地区的外交、海事、金融以及电信领域。攻击者利用图标伪装技术和恶意 Word 文档投递名为 RustyWater 的恶意软件。研究人员称,这一工具代表了该组织在技术体系上的“显著升级”。
据介绍,过去 MuddyWater 主要依靠 PowerShell 和 VBS 加载器完成初始入侵与后续操作,而如今部署 Rust 植入程序,显示其工具链正逐步向 更模块化、更隐蔽、噪音更低的远程访问木马(RAT) 演进。
美国网络安全和基础设施安全局(CISA)指出,MuddyWater(微软称为 Mango Sandstorm、ProofPoint 标记为 TA450)隶属于伊朗情报和安全部。该组织至少自 2017 年起活跃,主要针对中东、亚洲和欧洲的政府部门、通信机构及关键基础设施。
博客文章显示,攻击通常从带有恶意 ZIP 压缩包的钓鱼邮件开始。压缩包中包含一个真正的 PDF 文档和一个伪装成 PDF 图标的可执行文件。当受害者运行该文件时,系统会弹出诱饵 PDF,同时在后台执行恶意程序。
初始加载器会通过修改 Windows 注册表建立持久化,并在此基础上释放第二阶段载荷 RustyWater。该恶意软件通过 HTTP/HTTPS 与其指挥控制(C2)服务器通信,具备枚举文件系统、执行命令、窃取数据等功能。
CloudSEK 指出,攻击者注册了伪装成 Dropbox、WordPress 等合法服务的 C2 域名,其中多处基础设施通过 Hostinger 注册,而该服务提供商长期被威胁行为者滥用。
研究人员认为,选择 Rust 开发恶意软件不仅因为其具备内存安全等特性,还能实现跨平台编译,因此越来越受攻击者青睐。俄罗斯的 Gossamer Bear、中国背景的黑客组织等也在近期攻击中采用了基于 Rust 的恶意程序。
RustyWater 具备检测虚拟机、调试工具和沙箱环境的能力。“在启动后,程序会启用反调试与防篡改机制,”研究人员指出,“同时注册向量化异常处理程序(VEH)阻断调试尝试,并收集包括用户名、计算机名、域信息在内的系统数据。”
此外,该软件采用字符串混淆和多阶段载荷投递方式,全部字符串以位置无关的 XOR 加密存储,并在 C2 回调间设置随机延时,以避免被安全设备识别。
CloudSEK 的调查主要聚焦以色列,但证据显示该组织可能已将目标扩展至印度、阿联酋等国家。在针对以色列的攻击中,他们发现使用了模仿政府机构和以色列国防军的希伯来语诱饵文档。
研究人员表示,MuddyWater 一贯专注于情报窃取,尤其是政府和军事实体的信息。该组织曾使用多种远程访问工具和自研恶意软件,包括 PhonyC2 框架以及 SimpleHelp 等合法远控工具。
2024 年 11 月,亚马逊威胁情报部门指出,MuddyWater 的入侵活动与随后发生的导弹袭击存在关联。在以色列和红海地区的行动中,该组织曾访问过含有实时监控画面的被入侵服务器。
CloudSEK 建议各组织应强化邮件安全措施,加强员工识别钓鱼的培训,并部署能够侦测可疑进程与异常网络通信行为的终端检测与响应(EDR)方案。
网站资讯
渠道合作
解决方案
更多服务
