RustyWater RAT
イランと関連のある脅威アクター(通称MuddyWater)が、中東全域の外交、海事、金融、通信機関を標的とした新たなスピアフィッシング攻撃キャンペーンに関与していることが判明しました。この活動はRustyWaterと呼ばれるRustベースのマルウェアを基盤としており、このグループがカスタムビルドマルウェアへと着実に進化を遂げていることを示す新たな一歩となっています。
Mango Sandstorm、Static Kitten、TA450といった名前でも追跡されているMuddyWaterは、イランの情報安全保障省(MOIS)の依頼を受けて活動していると広く見られています。このグループは少なくとも2017年から活動しており、地域の政府機関や民間セクターを標的に継続的に攻撃を続けています。
目次
感染ベクター:武器化された文書と視覚的な欺瞞
攻撃チェーンは比較的シンプルですが、効果的です。被害者は、公式のサイバーセキュリティガイダンスを装ったスピアフィッシングメールを受け取ります。これらのメッセージには、アイコンの偽装を利用して正規のメールに見せかけた悪意のあるMicrosoft Wordファイルが添付されています。
ドキュメントを開くと、ユーザーに「コンテンツを有効にする」というプロンプトが表示されます。このリクエストを受け入れると、悪意のあるVBAマクロが起動し、Rustベースのペイロードがドロップされて実行されます。このソーシャルエンジニアリングのステップは、キャンペーンの成功にとって依然として重要です。
マルウェアの機能:RustyWaterインプラントの内部
RustyWater(別名Archer RAT、またはRUSTRIC)は、ステルス性と柔軟性を重視して設計されたモジュール型のリモートアクセス型トロイの木馬です。展開されると、感染システムに関する詳細な情報を収集し、インストールされているセキュリティ製品をチェックし、Windowsレジストリキーを通じて永続性を確立します。
その後、インプラントは「nomercys.it[.]com」にあるコマンド&コントロールサーバーとの通信を開始し、非同期通信を可能にします。このチャネルを通じて、オペレーターはコマンドの実行、ファイルの管理、追加モジュールによる機能拡張などを行い、侵入後の長期的な運用を支援します。
技術の進化:土地からの自給自足からカスタムツールまで
これまでMuddyWaterは、初期アクセスとその後の活動の両方において、PowerShellとVBSローダー、そして正規のリモートアクセスツールに大きく依存していました。しかし、時間の経過とともに、同グループは意図的にその依存を減らし、より多様なカスタムマルウェアのポートフォリオへと移行してきました。
このカスタムエコシステムには、Phoenix、UDPGangster、BugSleep(別名MuddyRot)、MuddyViperなどのツールが含まれます。Rustベースのインプラントの採用は、分析や検出がより困難で、より構造化され、モジュール化され、ノイズの少ない機能への移行を反映しています。
より広範な活動:中東を越えてRUSTRIC
2025年12月下旬、イスラエルの情報技術企業、マネージドサービスプロバイダー、人事部門、ソフトウェア開発会社を標的とした一連の侵入攻撃において、RUSTRICが使用されたことが研究者によって報告されました。この一連の活動は、UNG0801およびOperation IconCatとして追跡されています。
これらの調査結果は、RustyWater が単独の実験ではなく、MuddyWater の拡大する攻撃ツールキットのアクティブな構成要素であることを強調しています。
戦略的影響:より成熟した敵
RustyWaterの出現は、MuddyWaterが永続性、モジュール拡張、そして回避を目的とした専用マルウェアへの継続的な投資を浮き彫りにしています。この進化は、スクリプトを多用した明白な活動ではなく、より静かに長期的なアクセスをサポートするツールを備えた、より成熟した運用姿勢を示しています。
防御側にとって、この進化は、ドキュメントベースのフィッシング詐欺を精査し、レジストリベースの永続化メカニズムを監視し、異常なアウトバウンド接続、特に新たに確認された Rust マルウェア ファミリに関連する接続を綿密に検査する必要性を強めています。
