El actor de amenazas iraní conocido como MuddyWater ha sido atribuido a una campaña de phishing dirigida a entidades diplomáticas, marítimas, financieras y de telecomunicaciones en el Medio Oriente con un implante basado en Rust con nombre en código. OxidadoAgua.
“La campaña utiliza suplantación de íconos y documentos de Word maliciosos para entregar implantes basados en Rust capaces de C2 asíncrono, antianálisis, persistencia de registro y expansión de capacidad modular posterior al compromiso”, dijo Prajwal Awasthi, reiniciador de CloudSEK, en un referencia publicado esta semana.
El postrer progreso refleja la cambio continua del oficio de MuddyWater, que ha pequeño graduado pero constantemente su dependencia del software lícito de golpe remoto como útil posterior a la explotación a gracia de un diverso conjunto de malware que incluye herramientas como Phoenix, UDPGangster, BugSleep (asimismo conocido como MuddyRot) y MuddyViper.
Igualmente rastreado como Mango Sandstorm, Static Kitten y TA450, se considera que el montón de hackers está afiliado al Servicio de Inteligencia y Seguridad de Irán (MOIS). Ha estado eficaz desde al menos 2017.
Las cadenas de ataques que distribuyen RustyWater son asaz sencillas: los correos electrónicos de phishing disfrazados de pautas de ciberseguridad son atacados con un documento de Microsoft Word que, cuando se abre, indica a la víctima que “Habilite contenido” para activar la ejecución de una macro VBA maliciosa que es responsable de implementar el binario del implante Rust.
Igualmente conocido como Archer RAT y RUSTRIC, RustyWater recopila información de la máquina víctima, detecta el software de seguridad instalado, configura la persistencia mediante una esencia de Registro de Windows y establece contacto con un servidor de comando y control (C2) (“nomercys.it(.)com”) para favorecer las operaciones de archivos y la ejecución de comandos.
Vale la pena señalar que el uso de RUSTRIC fue señalado por Seqrite Labs a finales del mes pasado como parte de ataques dirigidos a empresas de tecnología de la información (TI), proveedores de servicios gestionados (MSP), medios humanos y progreso de software en Israel. La actividad está siendo rastreada por la empresa de ciberseguridad bajo los nombres UNG0801 y Operación IconCat.
“Históricamente, MuddyWater ha dependido de los cargadores PowerShell y VBS para el golpe auténtico y las operaciones posteriores al compromiso”, dijo CloudSEK. “La presentación de implantes basados en Rust representa una importante cambio de las herramientas en torno a capacidades RAT más estructuradas, modulares y de bajo ruido”.
