MuddyWater បើកដំណើរការ RustyWater RAT តាមរយៈការបន្លំ Spear-Phishing នៅទូទាំងវិស័យមជ្ឈិមបូព៌ា

ភ្នាក់ងារគំរាមកំហែងអ៊ីរ៉ង់ ដែលគេស្គាល់ថាជា MuddyWater ត្រូវបានគេសន្មតថាជាយុទ្ធនាការបន្លំលួចយកទិន្នន័យ (spear-phishing) ដែលកំណត់គោលដៅអង្គភាពការទូត ដែនសមុទ្រ ហិរញ្ញវត្ថុ និងទូរគមនាគមន៍នៅមជ្ឈិមបូព៌ា ជាមួយនឹងឧបករណ៍បង្កប់ដែលមានមូលដ្ឋានលើ Rust ដែលមានឈ្មោះកូដថា RustyWater។

លោក Prajwal Awasthi ដែលជាអ្នកកំណត់ឡើងវិញរបស់ CloudSEK បាននិយាយនៅក្នុងរបាយការណ៍មួយដែលបានចេញផ្សាយក្នុងសប្តាហ៍នេះថា "យុទ្ធនាការនេះប្រើប្រាស់ការក្លែងបន្លំរូបតំណាង និងឯកសារ Word ដែលមានគំនិតអាក្រក់ ដើម្បីផ្តល់នូវឧបករណ៍បង្កប់ដែលមានមូលដ្ឋានលើ Rust ដែលមានសមត្ថភាព C2 អសមកាល ការប្រឆាំងការវិភាគ ការរក្សាការចុះឈ្មោះ និងការពង្រីកសមត្ថភាពក្រោយការសម្របសម្រួលម៉ូឌុល"។

ការអភិវឌ្ឍចុងក្រោយបំផុតឆ្លុះបញ្ចាំងពីការវិវត្តជាបន្តបន្ទាប់នៃសិប្បកម្មរបស់ MuddyWater ដែលបានកាត់បន្ថយការពឹងផ្អែកលើកម្មវិធីចូលប្រើពីចម្ងាយស្របច្បាប់ជាឧបករណ៍ក្រោយការកេងប្រវ័ញ្ចបន្តិចម្តងៗ ដើម្បីគាំទ្រដល់ឃ្លាំងមេរោគផ្ទាល់ខ្លួនចម្រុះ ដែលមានឧបករណ៍ដូចជា Phoenix, UDPGangster, BugSleep (ហៅកាត់ថា MuddyRot) និង MuddyViper។

ក្រុមលួចចូលនេះ ក៏ត្រូវបានគេតាមដានថាជា Mango Sandstorm, Static Kitten និង TA450 ផងដែរ ហើយត្រូវបានវាយតម្លៃថាមានទំនាក់ទំនងជាមួយក្រសួងស៊ើបការណ៍សម្ងាត់ និងសន្តិសុខអ៊ីរ៉ង់ (MOIS)។ វាបានដំណើរការតាំងពីយ៉ាងហោចណាស់ឆ្នាំ ២០១៧។

ខ្សែសង្វាក់វាយប្រហារដែលចែកចាយ RustyWater គឺសាមញ្ញណាស់៖ អ៊ីមែលបន្លំលួចបន្លំដែលក្លែងបន្លំជាគោលការណ៍ណែនាំសន្តិសុខតាមអ៊ីនធឺណិតត្រូវបានវាយប្រហារដោយឯកសារ Microsoft Word ដែលនៅពេលបើក ណែនាំជនរងគ្រោះឱ្យ "បើកដំណើរការមាតិកា" ដើម្បីធ្វើឱ្យសកម្មការប្រតិបត្តិម៉ាក្រូ VBA ដែលមានគំនិតអាក្រក់ដែលទទួលខុសត្រូវចំពោះការដាក់ពង្រាយប្រព័ន្ធគោលពីរ Rust implant ។

RustyWater ដែលត្រូវបានគេហៅថា Archer RAT និង RUSTRIC ប្រមូលព័ត៌មានម៉ាស៊ីនជនរងគ្រោះ រកឃើញកម្មវិធីសុវត្ថិភាពដែលបានដំឡើង រៀបចំការបន្តតាមរយៈសោ Windows Registry និងបង្កើតទំនាក់ទំនងជាមួយម៉ាស៊ីនមេបញ្ជា និងត្រួតពិនិត្យ (C2) ("nomercys.it[.]com") ដើម្បីសម្រួលដល់ប្រតិបត្តិការឯកសារ និងការប្រតិបត្តិពាក្យបញ្ជា។

វាគួរឱ្យកត់សម្គាល់ថាការប្រើប្រាស់ RUSTRIC ត្រូវបានសម្គាល់ដោយ Seqrite Labs កាលពីចុងខែមុនថាជាផ្នែកមួយនៃការវាយប្រហារដែលផ្តោតលើបច្ចេកវិទ្យាព័ត៌មាន (IT) អ្នកផ្តល់សេវាគ្រប់គ្រង (MSPs) ធនធានមនុស្ស និងក្រុមហ៊ុនអភិវឌ្ឍន៍កម្មវិធីនៅអ៊ីស្រាអែល។ សកម្មភាពនេះកំពុងត្រូវបានតាមដានដោយក្រុមហ៊ុនសន្តិសុខតាមអ៊ីនធឺណិតក្រោមឈ្មោះ UNG0801 និង Operation IconCat។

CloudSEK បាននិយាយថា "តាមប្រវត្តិសាស្ត្រ MuddyWater បានពឹងផ្អែកលើ PowerShell និង VBS loaders សម្រាប់ការចូលប្រើដំបូង និងប្រតិបត្តិការក្រោយការសម្របសម្រួល"។ "ការណែនាំអំពីការផ្សាំដែលមានមូលដ្ឋានលើ Rust តំណាងឱ្យការវិវត្តន៍ឧបករណ៍គួរឱ្យកត់សម្គាល់ឆ្ពោះទៅរកសមត្ថភាព RAT ដែលមានរចនាសម្ព័ន្ធ ម៉ូឌុល និងសំឡេងរំខានទាប"។