APT-группа Muddy Water осваивает Rust для целевых атак на Ближний Восток

Специалисты подразделения TRIAD выявили новую кампанию, нацеленную на дипломатический, морской, финансовый и телекоммуникационный секторы в регионе. Вместо традиционных для группы скриптов PowerShell и VBS, злоумышленники применяют более сложные, модульные и скрытные вредоносные программы, написанные на Rust. Этот имплант, который исследователи условно назвали RustyWater, демонстрирует эволюцию инструментария группы в сторону снижения заметности и повышения устойчивости.

Атака начинается с целевого фишингового письма. В одном из инцидентов злоумышленники отправили письмо с темой «Руководство по кибербезопасности», маскируясь под официальный адрес мобильного оператора Туркменистана. Во вложении находился документ "Cybersecurity.doc". При открытии файла запускался макрос, который расшифровывал и записывал на диск второй этап вредоносной нагрузки - исполняемый файл, замаскированный под "CertificationKit.ini" в каталоге "C:\ProgramData".

Технический анализ показал, что извлеченный файл "PE" является имплантом на Rust, известным также как Archer RAT или RUSTRIC. Программа начинает работу с внедрения механизмов защиты от отладки и анализа. Все строки внутри вредоноса зашифрованы с помощью XOR. После расшифровки обнаруживаются пути для обеспечения постоянства (persistence), строки пользовательского агента для сетевых запросов и пути к файлам антивирусного программного обеспечения.

Для обеспечения долгосрочного присутствия в системе имплант прописывает себя в автозагрузку через реестр Windows, используя ключ "Run". Основное взаимодействие с командным сервером злоумышленников (C2) построено на асинхронной библиотеке "reqwest" для Rust. Передаваемые данные упаковываются в три слоя обфускации: структура "JSON" кодируется в "Base64", а затем шифруется с помощью "XOR". Для усложнения сетевого анализа встроены случайные задержки между подключениями к C2.

Одной из ключевых возможностей импланта является выполнение шелл-кода путем внедрения в легитимный процесс "explorer.exe". Этот классический метод позволяет скрыть активность вредоноса. Исследователи с высокой степенью уверенности атрибутируют кампанию группе Muddy Water. На это указывает повторное использование конкретных шаблонов кода в макросах "VBA", таких как функции "WriteHexToFile" и "love_me_function", а также схожие тактики, техники и процедуры (TTP), наблюдавшиеся в прошлом.

В ходе расследования было обнаружено несколько связанных фишинговых приманок. Злоумышленники маскировались под министерство иностранных дел ОАЭ, израильскую HR-компанию и другие легитимные организации, используя скомпрометированные или поддельные почтовые адреса. Это указывает на широкий и целенаправленный характер кампании.

Внедрение Rust-имплантов представляет серьезную угрозу. Во-первых, обеспечивается долгосрочное скрытое присутствие в системе за счет автозагрузки через реестр. Во-вторых, модульная архитектура позволяет операторам динамически расширять функционал уже после заражения, подключая новые возможности для сбора данных без доставки дополнительных файлов. В-третьих, асинхронное общение с C2 и многослойное шифрование снижают эффективность стандартных сетевых средств защиты.

Для противодействия подобным угрозам эксперты рекомендуют сосредоточиться на поведенческом анализе. Необходимо отслеживать подозрительные записи в реестр, особенно в автозагрузку из каталога "C:\ProgramData". Важно детектировать аномальную сетевую активность, такую как повторяющиеся HTTP-запросы с рандомизированными интервалами. Также следует отслеживать подозрительные операции с памятью, например, выделение памяти и модификацию потоков в процессе "explorer.exe". Критически важно относиться к любым переходам от пассивного ожидания команды к активным действиям по сбору информации в системе.

IPv4

• 159.198.66.153
• 159.198.68.25
• 161.35.228.250

Domains

• bootcamptg.org
• nomercys.it.com
• stratioai.org

SHA256

• 3d1e43682c4d306e41127ca91993c7befd6db626ddbe3c1ee4b2cf44c0d2fb43
• 42ad0c70e997a268286654b792c7833fd7c6a2a6a80d9f30d3f462518036d04c
• 7523e53c979692f9eecff6ec760ac3df5b47f172114286e570b6bba3b2133f58
• 76aad2a7fa265778520398411324522c57bfd7d2ff30a5cfe6460960491bc552
• a2001892410e9f34ff0d02c8bc9e7c53b0bd10da58461e1e9eab26bdbf410c79
• c23bac59d70661bb9a99573cf098d668e9395a636dc6f6c20f92c41013c30be8
• ddc6e6c76ac325d89799a50dffd11ec69ed3b5341740619b8e595b8068220914
• e081bc408f73158c7338823f01455e4f5185a4365c8aad1d60d777e29166abbd
• e61b2ed360052a256b3c8761f09d185dad15c67595599da3e587c2c553e83108
• f38a56b8dc0e8a581999621eef65ef497f0ac0d35e953bd94335926f00e9464f