حمله فیشینگ جدید گروه MuddyWater با بدافزار RustyWater شناسایی شد

کمیته رکن چهارم – گزارش جدید شرکت امنیتی CloudSEK نشان می‌دهد گروه سایبری‌ ایرانی MuddyWater با اجرای یک کارزار فیشینگ هدفمند، از بدافزار جدیدی به نام RustyWater علیه نهادهای دیپلماتیک، مالی، دریایی و مخابراتی در خاورمیانه استفاده می‌کند.

به گزارش کمیته رکن چهارم، شرکت امنیت سایبری CloudSEK در تازه‌ترین تحلیل تهدیدات، از افزایش فعالیت‌های گروه سایبری MuddyWater خبر داده است. این گروه که در گزارش‌های امنیتی با نام‌های Mango Sandstorm، Static Kitten، TA450 نیز شناخته می‌شود، دفعات گذشته از اسکریپت‌های ساده مانند PowerShell و VBScript برای نفوذ استفاده می‌کرد؛ اما اکنون یک بدافزار مدرن نوشته‌شده به زبان Rust با نام RustyWater را در کارزارهای فیشینگ خود به کار گرفته است.

✉️ زنجیره حمله چگونه عمل می‌کند؟

تحلیل‌ها نشان می‌دهد حملات کارزار جدید به‌صورت هدفمند علیه شرکت‌ها و نهادهای خاص طراحی شده است:

ارسال ایمیل‌های فیشینگ با محتوای فریبنده مانند «راهنمای امنیت سایبری»

پیوست ایمیل شامل سند Word آلوده

کاربر با باز کردن فایل و فعال‌سازی گزینه Enable Content ماکروی VBA مخرب اجرا می‌شود

ماکرو بدافزار RustyWater را در سیستم قربانی بارگذاری می‌کند

🦠 RustyWater چیست و چه می‌کند؟

بدافزار RustyWater که در برخی گزارش‌ها با نام‌های Archer RAT و RUSTRIC نیز شناخته می‌شود، یک ابزار دسترسی از راه دور (Remote Access Trojan) با قابلیت‌های گسترده است:

🔹 جمع‌آوری اطلاعات سیستم قربانی
🔹 شناسایی و بررسی نرم‌افزارهای امنیتی نصب‌شده
🔹 ایجاد ماندگاری (Persistence) از طریق کلیدهای رجیستری ویندوز
🔹 برقراری ارتباط با سرور فرماندهی و کنترل (C2) در دامنه nomercys.it[.]com
🔹 اجرای دستورات از راه دور و انجام عملیات روی فایل‌ها
🔹 توسعه‌پذیری ماژولار پس از نفوذ

این سطح از توانمندی‌ها نشان می‌دهد که RustyWater نه‌تنها برای نفوذ اولیه طراحی شده، بلکه برای حفظ دسترسی طولانی‌مدت در سیستم‌های آلوده نیز بهینه‌سازی شده است.

🎯 اهداف اخیر این کارزار

بر اساس گزارش‌ها، اهداف این حملات شامل بخش‌های زیر بوده‌اند:

شرکت‌های فناوری اطلاعات (IT)

شرکت‌های خدمات مدیریت‌شده (MSPs)

بخش منابع انسانی

توسعه‌دهندگان نرم‌افزار

این حملات در اسرائیل و دیگر کشورهای خاورمیانه مشاهده شده‌اند. برخی شرکت‌های امنیتی مثل Seqrite Labs نیز این فعالیت‌ها را تحت نام UNG0801 و Operation IconCat رصد کرده‌اند.

🔄 تحول تاکتیکی در ابزارهای MuddyWater

گزارش‌ها نشان می‌دهد که MuddyWater به‌تدریج از ابزارهای ساده به ابزارهای پیچیده‌تر حرکت کرده‌اند. ابزارهایی که قبلاً از آن‌ها استفاده می‌کردند شامل:

Phoenix

UDPGangster

BugSleep (یا MuddyRot)

MuddyViper

و اکنون RustyWater به این مجموعه افزوده شده که نشان‌دهنده جهش تاکتیکی و افزایش پیچیدگی حملات است.

✅ توصیه‌های امنیتی

کارشناسان امنیت سایبری تاکید می‌کنند برای مقابله با این نوع حملات هدفمند باید اقدامات زیر جدی گرفته شوند:

🔸 از باز کردن فایل‌های پیوست‌شده در ایمیل‌های مشکوک جداً خودداری کنید.
🔸 اجرای ماکروها در فایل‌های Office را در تنظیمات برنامه‌ها غیرفعال کنید.
🔸 از راهکارهای EDR و ضدبدافزار به‌روز برای شناسایی حملات فایل‌محور استفاده کنید.
🔸 پایش لاگ‌های رجیستری و همچنین ارتباطات خروجی سیستم‌ها به‌ویژه ارتباطات با آدرس‌های C2 باید مستمر انجام شود.
🔸 آموزش کاربران در شناسایی ایمیل‌های مشکوک و تهدیدهای فیشینگ نیز یکی از مهم‌ترین گام‌ها است.