江苏
关键词
黑客
被称为MuddyWater的伊朗黑客组织近日被指发动了一场针对中东地区外交、海事、金融及电信实体的鱼叉式钓鱼攻击,其使用的是一款基于Rust语言、代号为RustyWater的植入程序。
CloudSEK的研究员Prajwal Awasthi在本周发布的报告中表示:“此次攻击活动利用图标伪装和恶意Word文档,投放基于Rust语言开发的植入程序。该植入程序具备异步命令与控制(C2)通信、反分析、通过注册表实现持久化以及模块化扩展等能力。”
这一最新进展表明MuddyWater的攻击手法持续演变。该组织已逐步但稳步减少对合法远程访问软件作为入侵后工具的依赖,转而采用多样化的定制恶意软件库,包括Phoenix、UDPGangster、BugSleep和MuddyViper等工具。
该黑客组织被评估隶属于伊朗情报与安全部,其活动至少可追溯至2017年。
传播RustyWater的攻击链较为直接:伪装成网络安全指南的鱼叉式钓鱼邮件附带一个Microsoft Word文档。当受害者打开文档时,会收到“启用内容”的提示,一旦执行,便会激活一个负责部署Rust植入程序的恶意VBA宏。
RustyWater会收集受害者计算机信息、检测已安装的安全软件、通过Windows注册表项建立持久化,并与命令与控制(C2)服务器(”nomercys.it[.]com”)建立联系,以执行文件操作和命令。
值得注意的是,Seqrite Labs在上月底曾报告RUSTRIC被用于针对以色列的信息技术(IT)公司、管理服务提供商(MSP)、人力资源及软件开发公司的攻击活动中。这家网络安全公司将该活动追踪命名为UNG0801和Operation IconCat。
CloudSEK指出:“从历史手法看,MuddyWater一直依赖PowerShell和VBS加载程序进行初始入侵和后续操作。此次引入基于Rust语言的植入程序,标志着其工具链向更结构化、模块化和低噪声的远程访问木马能力显著演进。”
安全圈
网罗圈内热点 专注网络安全
实时资讯一手掌握!
好看你就分享 有用就点个赞
支持「安全圈」就点个三连吧!
特别声明:以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布,本平台仅提供信息存储服务。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
