锈水木马崛起:泥水坑组织弃用PowerShell,改用高隐蔽性Rust植入程序
臭名昭著的高级持续性威胁(APT)组织泥水坑(MuddyWater) 完成了武器库的全面升级,摒弃传统脚本工具,转而采用一款专为规避检测而设计的精密新型恶意程序。云安实验室(CloudSEK)旗下 TRIAD 研究团队发布的一份新报告显示,该组织发起了一场定向鱼叉式钓鱼攻击,针对中东核心关键行业展开渗透,所使用的恶意软件变种为首次发现,代号 **“锈水(RustyWater)”**。
此次攻击精准锁定 **“外交、海事、金融及电信领域机构”**,与该组织既往的攻击模式相比,呈现出显著的转向特征。
长期以来,被认为与伊朗相关势力存在关联的泥水坑组织,一直依赖 **“PowerShell 和 VBS 脚本加载器”** 实现对受害网络的初始访问。而此次最新攻击行动则标志着其战略转型 —— 朝着打造更强抗打击能力、更高隐蔽性的恶意程序方向演进。
报告指出:“这款基于 Rust 语言开发的植入程序的推出,标志着该组织的工具链迎来显著升级,朝着架构更规整、模块化程度更高、隐蔽性更强的远程访问木马(RAT) 能力方向发展。”
攻击者选择 Rust 编程语言开发恶意程序,主要获得两大核心优势:一是跨平台兼容性;更关键的一点在于,能够大幅降低被现代终端防护系统检测到的概率 —— 这类防护系统通常针对该组织此前使用的脚本攻击手段设置了特征检测规则。
该攻击的感染流程始于一种经典却极具杀伤力的鱼叉式钓鱼手段:受害者会收到包含恶意 Word 文档的邮件,这些文档往往被伪装成官方沟通文件。监测到的其中一个钓鱼诱饵邮件,主题为 **《新版网络安全防护指南》**。
完整的攻击链步骤清晰且环环相扣:
- 恶意钓鱼邮件:受害者收到钓鱼诱饵邮件。
- 恶意宏代码:打开附件文档后触发恶意代码执行。
- 投放程序:一个中间可执行文件(例如以
Cybersecurity.doc为载体,进而从nomercys.it.com下载恶意载荷)完成攻击铺垫。 - 植入程序部署:锈水木马植入程序被成功投放,该程序具备异步命令与控制(C2)、反分析、注册表持久化,以及模块化的入侵后功能扩展能力。
尽管此前已有关于 “射手远程访问木马(Archer RAT)” 或 “RUSTRIC” 等 Rust 语言恶意工具的零星报道,但云安实验室分析师强调,此次发现的这款变种具有独特性。
研究人员指出:“为避免命名冲突,同时确保表述清晰,本报告中将该恶意软件变种统一称为锈水(RustyWater)。”
随着泥水坑组织持续推进其工具库的现代化升级,相关机构提醒,被攻击目标区域的各类组织需突破传统入侵指标的检测局限,及时更新防护策略,重点加强对编译型恶意软件威胁的防御能力。
