El actor de amenazas iraní conocido como MuddyWater ha sido atribuido a una campaña de phishing dirigida a entidades diplomáticas, marítimas, financieras y de telecomunicaciones en el Medio Oriente con un implante basado en Rust con nombre en código. OxidadoAgua.
«La campaña utiliza suplantación de íconos y documentos de Word maliciosos para entregar implantes basados en Rust capaces de C2 asíncrono, antianálisis, persistencia de registro y expansión de capacidad modular posterior al compromiso», dijo Prajwal Awasthi, reiniciador de CloudSEK, en un informe publicado esta semana.
El último desarrollo refleja la evolución continua del oficio de MuddyWater, que ha reducido gradual pero constantemente su dependencia del software legítimo de acceso remoto como herramienta posterior a la explotación a favor de un diverso arsenal de malware que incluye herramientas como Phoenix, UDPGangster, BugSleep (también conocido como MuddyRot) y MuddyViper.
También rastreado como Mango Sandstorm, Static Kitten y TA450, se considera que el grupo de hackers está afiliado al Ministerio de Inteligencia y Seguridad de Irán (MOIS). Ha estado operativo desde al menos 2017.
Las cadenas de ataques que distribuyen RustyWater son bastante sencillas: los correos electrónicos de phishing disfrazados de pautas de ciberseguridad son atacados con un documento de Microsoft Word que, cuando se abre, indica a la víctima que «Habilite contenido» para activar la ejecución de una macro VBA maliciosa que es responsable de implementar el binario del implante Rust.
También conocido como Archer RAT y RUSTRIC, RustyWater recopila información de la máquina víctima, detecta el software de seguridad instalado, configura la persistencia mediante una clave de Registro de Windows y establece contacto con un servidor de comando y control (C2) («nomercys.it(.)com») para facilitar las operaciones de archivos y la ejecución de comandos.
Vale la pena señalar que el uso de RUSTRIC fue señalado por Seqrite Labs a finales del mes pasado como parte de ataques dirigidos a empresas de tecnología de la información (TI), proveedores de servicios gestionados (MSP), recursos humanos y desarrollo de software en Israel. La actividad está siendo rastreada por la empresa de ciberseguridad bajo los nombres UNG0801 y Operación IconCat.
«Históricamente, MuddyWater ha dependido de los cargadores PowerShell y VBS para el acceso inicial y las operaciones posteriores al compromiso», dijo CloudSEK. «La introducción de implantes basados en Rust representa una notable evolución de las herramientas hacia capacidades RAT más estructuradas, modulares y de bajo ruido».