Al actor de amenazas iraní MuddyWater se le atribuye una campaña de phishing dirigida a empresas diplomáticas, marítimas, financieras y de telecomunicaciones en el Medio Oriente utilizando un implante basado en Rust con nombre en código. OxidadoAgua.
“La campaña utiliza suplantación de íconos y documentos de Word maliciosos para entregar implantes basados en Rust que permiten C2 asíncrono, antianálisis, persistencia del registro y expansión modular de la capacidad posterior al compromiso”, dijo el reiniciador de CloudSEK, Prajwal Awasthi, en un informe publicado esta semana.
El último desarrollo refleja la evolución continua del arte de MuddyWater, que ha reducido gradual pero constantemente su dependencia del software legítimo de acceso remoto como herramienta posterior a la explotación, recurriendo en su lugar a un diverso arsenal de malware que incluye herramientas como Phoenix, UDPGangster, BugSleep (también conocido como MuddyRot) y MuddyViper.
El grupo de hackers también se conoce con los nombres Mango Sandstorm, Static Kitten y TA450 y se cree que está vinculado al Ministerio de Inteligencia y Seguridad de Irán (MOIS). Ha estado en funcionamiento desde al menos 2017.
Las cadenas de ataque que difunde RustyWater son bastante simples: correos electrónicos de phishing disfrazados de políticas de ciberseguridad son atacados con un documento de Microsoft Word que, cuando se abre, indica a la víctima que “Habilite contenido” para permitir la ejecución de una macro VBA maliciosa responsable de implementar el binario del implante Rust.
RustyWater, también conocido como Archer RAT y RUSTRIC, recopila información sobre la máquina de la víctima, detecta el software de seguridad instalado, establece persistencia utilizando una clave de registro de Windows y establece contacto con un servidor de comando y control (C2) (“nomercys.it(.)com”) para facilitar las operaciones de archivos y la ejecución de comandos.
Vale la pena señalar que Seqrite Labs informó sobre el uso de RUSTRIC a fines del mes pasado como parte de ataques a empresas de tecnología de la información (TI), proveedores de servicios administrados (MSP), recursos humanos y desarrollo de software en Israel. La actividad es rastreada por la empresa de ciberseguridad bajo los nombres UNG0801 y Operación IconCat.
“Históricamente, MuddyWater ha dependido de los cargadores PowerShell y VBS para el acceso inicial y las operaciones posteriores al compromiso”, dijo CloudSEK. “La introducción de implantes basados en Rust representa una evolución notable de las herramientas hacia capacidades RAT más estructuradas, modulares y silenciosas”.
About The Author
