Se cree que el actor de amenazas iraní conocido como MuddyWater participó en campañas de phishing dirigidas a instituciones diplomáticas, marítimas, financieras y de comunicaciones en el Medio Oriente utilizando un implante basado en Rust conocido con el nombre en clave RustyWater.
«La campaña utiliza suplantación de íconos y documentos de Word maliciosos para entregar un implante basado en Rust capaz de realizar C2 asincrónico, anti-análisis, persistencia de registro y mejoras modulares posteriores al compromiso», dijo Prajwal Awasthi, reiniciador de CloudSEK, en un informe publicado esta semana.
Los últimos desarrollos reflejan la continua evolución del oficio de MuddyWater, reduciendo lenta pero constantemente su dependencia del software legítimo de acceso remoto como herramienta post-explotación a favor de un diverso arsenal de malware que consta de herramientas como Phoenix, UDPGangster, BugSleep (también conocido como MuddyRot) y MuddyViper.
Se estima que el grupo de hackers, también identificado como Mango Sandstorm, Static Kitten y TA450, está afiliado al Ministerio de Inteligencia y Seguridad de Irán (MOIS). Ha estado en funcionamiento desde al menos 2017.
La cadena de ataque para distribuir RustyWater es muy sencilla. Los correos electrónicos de phishing disfrazados de pautas de ciberseguridad se entregan como documentos de Microsoft Word. Al abrir este documento se le indica a la víctima que «habilite el contenido», lo que activa la ejecución de una macro VBA maliciosa responsable de implementar el binario del implante Rust.
RustyWater, también conocido como Archer RAT y RUSTRIC, recopila información sobre las máquinas víctimas, detecta el software de seguridad instalado, establece la persistencia usando claves de registro de Windows y establece una conexión con un servidor de comando y control (C2) (‘nomercys.it(.)com’) para facilitar las operaciones de archivos y la ejecución de comandos.
En particular, Seqrite Labs informó a finales del mes pasado del uso de RUSTRIC como parte de un ataque dirigido a empresas de tecnología de la información (TI), proveedores de servicios gestionados (MSP), recursos humanos y desarrollo de software en Israel. Esta actividad está siendo rastreada por una empresa de ciberseguridad con los nombres UNG0801 y Operation IconCat.
«Históricamente, MuddyWater ha dependido de los cargadores PowerShell y VBS para el acceso inicial y las operaciones posteriores al compromiso», dijo CloudSEK. «La introducción de implantes basados en Rust representa una notable evolución de la herramienta hacia capacidades RAT más estructuradas, modulares y de bajo ruido».
Source link
