- 23,414
- 46
- 8 Ноя 2022
Группировка MuddyWater освоила Rust и теперь прикидывается консультантом по кибербезопасности.
Иранская группировка MuddyWater активизировала атаки на организации в странах Ближнего Востока, применяя новый вредоносный инструмент, разработанный на языке Rust. Целью кампании стали дипломатические учреждения, компании в сфере телекоммуникаций, морских перевозок и финансов.
По данным аналитиков CloudSEK, злоумышленники рассылают фишинговые письма, замаскированные под рекомендации по кибербезопасности. К письмам прикреплены документы Microsoft Word, содержащие вредоносный макрос. При активации содержимого запускается загрузка программы под названием RustyWater («ржавая вода») — это инструмент удалённого доступа, способный обходить анализ, закрепляться в системе и расширять функциональность после проникновения.
RustyWater, известный также под названиями Archer RAT и RUSTRIC, собирает информацию об устройстве жертвы, анализирует наличие защитных решений, создаёт ключи в реестре Windows для устойчивости и связывается с управляющим сервером для выполнения команд и работы с файлами.
Использование RUSTRIC также недавно зафиксировали специалисты Seqrite Labs. В декабре они сообщили об атаках на технологические компании, поставщиков управляемых IT-услуг, а также отделы по подбору персонала и разработке программного обеспечения в Израиле. Это направление они отслеживают под названиями UNG0801 и Operation IconCat.
Аналитики отмечают, что действия группы становятся всё более изощрёнными. Ранее MuddyWater предпочитала применять стандартные инструменты вроде PowerShell и VBS для первоначального доступа и дальнейших операций. Теперь же на смену этим решениям пришли собственные разработки с более сложной архитектурой и низким уровнем обнаружения. Помимо RustyWater, в арсенале группировки — такие вредоносные программы, как Phoenix, UDPGangster, BugSleep и MuddyViper.
Группировка, также известная под названиями Mango Sandstorm, Static Kitten и TA450, предположительно связана с Министерством разведки Ирана и действует как минимум с 2017 года. Переход от легитимных программ удалённого доступа к собственным решениям говорит о целенаправленном развитии и стремлении повысить эффективность шпионских операций .
Иранская группировка MuddyWater активизировала атаки на организации в странах Ближнего Востока, применяя новый вредоносный инструмент, разработанный на языке Rust. Целью кампании стали дипломатические учреждения, компании в сфере телекоммуникаций, морских перевозок и финансов.
По данным аналитиков CloudSEK, злоумышленники рассылают фишинговые письма, замаскированные под рекомендации по кибербезопасности. К письмам прикреплены документы Microsoft Word, содержащие вредоносный макрос. При активации содержимого запускается загрузка программы под названием RustyWater («ржавая вода») — это инструмент удалённого доступа, способный обходить анализ, закрепляться в системе и расширять функциональность после проникновения.
RustyWater, известный также под названиями Archer RAT и RUSTRIC, собирает информацию об устройстве жертвы, анализирует наличие защитных решений, создаёт ключи в реестре Windows для устойчивости и связывается с управляющим сервером для выполнения команд и работы с файлами.
Использование RUSTRIC также недавно зафиксировали специалисты Seqrite Labs. В декабре они сообщили об атаках на технологические компании, поставщиков управляемых IT-услуг, а также отделы по подбору персонала и разработке программного обеспечения в Израиле. Это направление они отслеживают под названиями UNG0801 и Operation IconCat.
Аналитики отмечают, что действия группы становятся всё более изощрёнными. Ранее MuddyWater предпочитала применять стандартные инструменты вроде PowerShell и VBS для первоначального доступа и дальнейших операций. Теперь же на смену этим решениям пришли собственные разработки с более сложной архитектурой и низким уровнем обнаружения. Помимо RustyWater, в арсенале группировки — такие вредоносные программы, как Phoenix, UDPGangster, BugSleep и MuddyViper.
Группировка, также известная под названиями Mango Sandstorm, Static Kitten и TA450, предположительно связана с Министерством разведки Ирана и действует как минимум с 2017 года. Переход от легитимных программ удалённого доступа к собственным решениям говорит о целенаправленном развитии и стремлении повысить эффективность шпионских операций .
- Источник новости
- www.securitylab.ru
