El actor de amenazas iraní conocido como FangosoAgua se ha atribuido a una campaña de phishing dirigida a entidades diplomáticas, marítimas, financieras y de telecomunicaciones en el Medio Oriente con un implante basado en Rust con nombre en código OxidadoAgua.
«La campaña utiliza suplantación de iconos y documentos de Word maliciosos para ofrecer implantes basados en Rust capaces de C2 asíncrono, antianálisis, persistencia del registro y expansión modular de la capacidad posterior al compromiso», dijo el reiniciador de CloudSEK, Prajwal Awasthi. dicho en un informe publicado esta semana.
El último acontecimiento refleja la evolución continua del oficio de MuddyWater, que de forma gradual pero constante ha redujo su dependencia en software legítimo de acceso remoto como herramienta posterior a la explotación a favor de un arsenal de malware diverso que comprende herramientas como Phoenix, UDPGángster, BugSleep (también conocido como MuddyRot) y MuddyViper.
También rastreado como Mango Sandstorm, Static Kitten y TA450, se considera que el grupo de hackers está afiliado al Ministerio de Inteligencia y Seguridad de Irán (MOIS). Ha estado operativo desde al menos 2017.
Las cadenas de ataques que distribuyen RustyWater son bastante sencillas: los correos electrónicos de phishing disfrazados de pautas de ciberseguridad son atacados con un documento de Microsoft Word que, cuando se abre, indica a la víctima que «Habilitar contenido» para activar la ejecución de una macro VBA maliciosa que es responsable de implementar el binario del implante Rust.
También conocido como Archer RAT y RUSTRIC, RustyWater recopila información de la máquina víctima, detecta el software de seguridad instalado, configura la persistencia mediante una clave de Registro de Windows y establece contacto con un servidor de comando y control (C2) («nomercys.it[.]com») para facilitar las operaciones con archivos y la ejecución de comandos.
Vale la pena señalar que el uso de RUSTRIC fue marcado por Seqrite Labs a finales del mes pasado como parte de ataques dirigidos a empresas de tecnología de la información (TI), proveedores de servicios gestionados (MSP), recursos humanos y desarrollo de software en Israel. La actividad está siendo rastreada por la empresa de ciberseguridad bajo los nombres UNG0801 y Operación IconCat.
«Históricamente, MuddyWater ha dependido de los cargadores PowerShell y VBS para el acceso inicial y las operaciones posteriores al compromiso», dijo CloudSEK. «La introducción de implantes basados en Rust representa una notable evolución de las herramientas hacia capacidades RAT más estructuradas, modulares y de bajo ruido».
Fuente