Nguyễn Tiến Đạt
Intern Writer
Nhóm tin tặc Iran MuddyWater được cho là triển khai chiến dịch lừa đảo có chủ đích nhắm vào cơ quan ngoại giao, hàng hải, tài chính và viễn thông tại Trung Đông bằng phần mềm độc hại viết bằng ngôn ngữ Rust mang tên RustyWater.
Theo chuyên gia CloudSEK Prajwal Awasthi, chiến dịch dùng tài liệu Word giả mạo, chèn biểu tượng ngụy trang để lây nhiễm mã độc Rust, cho phép điều khiển từ xa không đồng bộ, tránh phân tích, duy trì đăng ký hệ thống và mở rộng chức năng theo mô-đun sau khi xâm nhập.
Hoạt động mới này phản ánh sự thay đổi chiến lược của MuddyWater. Thay vì dựa vào công cụ truy cập từ xa hợp pháp sau khai thác, nhóm chuyển sang kho phần mềm tùy chỉnh như Phoenix, UDPGangster, BugSleep (MuddyRot) và MuddyViper.
Nhóm cũng được biết đến với tên Mango Sandstorm, Static Kitten và TA450, bị cho là liên kết với Bộ Tình báo và An ninh Iran (MOIS) và hoạt động từ năm 2017.
RustyWater, còn gọi Archer RAT hoặc RUSTRIC, thu thập thông tin hệ thống, phát hiện phần mềm bảo mật, duy trì hiện diện qua khóa Registry trên Windows, đồng thời kết nối với máy chủ điều khiển C2 “nomercys.it[.]com” để thao tác tệp và chạy lệnh từ xa.
Seqrite Labs gần đây ghi nhận RUSTRIC trong các cuộc tấn công nhắm vào doanh nghiệp công nghệ thông tin, nhà cung cấp dịch vụ quản lý, nhân sự và phát triển phần mềm tại Israel. Hoạt động này được theo dõi dưới mã UNG0801 và Chiến dịch IconCat.
CloudSEK cho biết MuddyWater từng dựa vào PowerShell và trình tải VBS trong giai đoạn truy cập ban đầu và hậu xâm nhập. Việc đưa vào Implant dựa trên Rust cho thấy bước tiến lớn: công cụ RAT mô-đun, có cấu trúc và hoạt động kín đáo hơn.
Theo chuyên gia CloudSEK Prajwal Awasthi, chiến dịch dùng tài liệu Word giả mạo, chèn biểu tượng ngụy trang để lây nhiễm mã độc Rust, cho phép điều khiển từ xa không đồng bộ, tránh phân tích, duy trì đăng ký hệ thống và mở rộng chức năng theo mô-đun sau khi xâm nhập.
Hoạt động mới này phản ánh sự thay đổi chiến lược của MuddyWater. Thay vì dựa vào công cụ truy cập từ xa hợp pháp sau khai thác, nhóm chuyển sang kho phần mềm tùy chỉnh như Phoenix, UDPGangster, BugSleep (MuddyRot) và MuddyViper.
Nhóm cũng được biết đến với tên Mango Sandstorm, Static Kitten và TA450, bị cho là liên kết với Bộ Tình báo và An ninh Iran (MOIS) và hoạt động từ năm 2017.
Quy trình phát tán RustyWater và hoạt động của mã độc
Kỹ thuật tấn công được mô tả khá đơn giản: email spear-phishing với tài liệu Microsoft Word giả mạo hướng dẫn an ninh mạng. Khi người nhận mở file và chọn “Kích hoạt nội dung”, macro VBA độc hại được kích hoạt để triển khai tệp nhị phân Rust.RustyWater, còn gọi Archer RAT hoặc RUSTRIC, thu thập thông tin hệ thống, phát hiện phần mềm bảo mật, duy trì hiện diện qua khóa Registry trên Windows, đồng thời kết nối với máy chủ điều khiển C2 “nomercys.it[.]com” để thao tác tệp và chạy lệnh từ xa.
Seqrite Labs gần đây ghi nhận RUSTRIC trong các cuộc tấn công nhắm vào doanh nghiệp công nghệ thông tin, nhà cung cấp dịch vụ quản lý, nhân sự và phát triển phần mềm tại Israel. Hoạt động này được theo dõi dưới mã UNG0801 và Chiến dịch IconCat.
CloudSEK cho biết MuddyWater từng dựa vào PowerShell và trình tải VBS trong giai đoạn truy cập ban đầu và hậu xâm nhập. Việc đưa vào Implant dựa trên Rust cho thấy bước tiến lớn: công cụ RAT mô-đun, có cấu trúc và hoạt động kín đáo hơn.
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview
