SOC Prime Bias: Критичний

12 Січ 2026 17:55
newspaper icon cloudsek.com

MuddyWater’s Rust Pivot: Inside the RustyWater Implant

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Стежити
MuddyWater’s Rust Pivot: Inside the RustyWater Implant
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query


Резюме

MuddyWater запустила кампанію з фішингу, спрямовану на дипломатичні, морські, фінансові та телекомунікаційні організації на Близькому Сході. Атакуючі використовували шкідливі документи Word із вбудованими макросами для розгортання RustyWater, імпланта на базі Rust. Після встановлення шкідливе програмне забезпечення здійснює персистенцію через ключ реєстру Run, спілкується з командним центром через HTTP та впорскує код у explorer.exe, щоб зливатися з нормальною діяльністю користувачів. Імплант включає засоби захисту від аналізу та підтримує модульну функціональність після компрометації для розширення контролю атакуючого.

Розслідування

Команда TRIAD компанії CloudSEK проаналізувала шкідливий документ, відновила закодований у шістнадцятковій формі завантажувальний файл та ідентифікувала виконуваний файл Rust reddit.exe. Статична перевірка показала використання бібліотеки reqwest для C2 через HTTP, механізму векторизованого обробника виключень для боротьби з налагодженням і персистенцію через шлях реєстру CurrentUser Run. Динамічні випробування підтвердили процеси ін’єкції в explorer.exe та асинхронне поводження C2 з рандомізуванням часу виклику. Розслідування зібрало ключові індикатори, такі як хеші, артефакти реєстру та шкідливі домени, які використовуються для зв’язку.

Пом’якшення

Слідкуйте за підозрілими змінами в HKCUSoftwareMicrosoftWindowsCurrentVersionRun, особливо за записами, що вказують на виконувані файли, розміщені в ProgramData. Виявляйте ланцюги виконання, що управляються макросами, де Office породжує cmd.exe через WScript.Shell. Додайте моніторинг мережі для HTTP-трафіку з шаблонами, що відповідають JSON → Base64 → XOR кодуванню, і для маячення з рандомізованим jitter. Посильте контроль електронної пошти для блокування або карантинування вкладень Word з макросами від невідомих або неперевірених відправників.

Відповідь

Якщо виявлено діяльність RustyWater, ізолюйте кінцеву точку і отримайте образ пам’яті, щоб підтримати аналіз ін’єкцій. Видаліть шкідливі ключі персистенції Run і знищіть будь-які файли, що впали в ProgramData. Блокуйте ідентифіковані C2 домени та IP-адреси на периметрових засобах. Розширте пошуки, щоб ідентифікувати пов’язану макроактивність та артефакти ін’єкції explorer.exe в інфраструктурі для забезпечення повного стримування.

graph TB %% Визначення класів classDef action fill:#99ccff classDef technique fill:#ffcc99 classDef file fill:#e6e6e6 classDef process fill:#c2f0c2 classDef registry fill:#ffd9b3 classDef data fill:#d9d9ff %% Вузли action_phishing[“<b>Дія</b> – <b>T1566.001 Цільовий фішинг із вкладенням</b><br/>Жертві надсилається електронний лист зі шкідливим Word-документом”] class action_phishing action file_doc[“<b>Файл</b> – <b>Назва</b>: Cybersecurity.doc<br/><b>Тип</b>: Документ Word із VBA-макросом”] class file_doc file action_user_execution[“<b>Дія</b> – <b>T1204.002 Шкідливий файл</b><br/>Жертва відкриває вкладений документ, запускаючи виконання”] class action_user_execution action technique_vba_macro[“<b>Техніка</b> – <b>T1059.005 Visual Basic</b><br/>VBA-макрос виконується та здійснює шкідливі дії”] class technique_vba_macro technique file_ini[“<b>Файл</b> – <b>Назва</b>: CertificationKit.ini<br/><b>Призначення</b>: Скрипт, що виконується через WMI”] class file_ini file technique_native_api[“<b>Техніка</b> – <b>T1106 Native API</b><br/>Макрос створює COM-об’єкти для взаємодії з системою”] class technique_native_api technique technique_wmi[“<b>Техніка</b> – <b>T1047 Windows Management Instrumentation</b><br/>WMI використовується для запуску .ini-скрипту”] class technique_wmi technique technique_reflective_loading[“<b>Техніка</b> – <b>T1620 Рефлексивне завантаження коду</b><br/>Hex-кодовий payload декодується в пам’яті та записується на диск”] class technique_reflective_loading technique technique_process_injection[“<b>Техніка</b> – <b>T1055.002 Інʼєкція PE-файлу</b><br/>Shellcode інʼєктується в explorer.exe”] class technique_process_injection technique process_explorer[“<b>Процес</b> – <b>Назва</b>: explorer.exe”] class process_explorer process technique_persistence[“<b>Техніка</b> – <b>T1547 Автозапуск під час входу</b><br/>Для стійкості створюється ключ Run у реєстрі”] class technique_persistence technique registry_run[“<b>Реєстр</b> – <b>Ключ</b>: HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Run”] class registry_run registry technique_encrypted_channel[“<b>Техніка</b> – <b>T1573 Зашифрований канал</b><br/>C2-трафік шифрується”] class technique_encrypted_channel technique technique_symmetric_crypto[“<b>Техніка</b> – <b>T1573.001 Симетрична криптографія</b><br/>XOR/Base64 використовується для приховування даних”] class technique_symmetric_crypto technique technique_credential_hooking[“<b>Техніка</b> – <b>T1056.004 Перехоплення через API</b><br/>API-хуки захоплюють облікові дані користувача”] class technique_credential_hooking technique credentials[“<b>Дані</b> – <b>Тип</b>: Викрадені облікові дані”] class credentials data %% Зв’язки action_phishing –>|доставляє| file_doc file_doc –>|відкривається користувачем| action_user_execution action_user_execution –>|запускає| technique_vba_macro technique_vba_macro –>|створює| file_ini technique_vba_macro –>|використовує| technique_native_api technique_native_api –>|викликає| technique_wmi technique_wmi –>|виконує| file_ini file_ini –>|завантажує| technique_reflective_loading technique_reflective_loading –>|призводить до| technique_process_injection technique_process_injection –>|інʼєктується в| process_explorer process_explorer –>|дозволяє| technique_persistence technique_persistence –>|створює| registry_run registry_run –>|підтримує| technique_encrypted_channel technique_encrypted_channel –>|використовує| technique_symmetric_crypto technique_symmetric_crypto –>|захищає| technique_credential_hooking technique_credential_hooking –>|захоплює| credentials

Потік атаки

Виконання симуляції

Передумова: Телеметрія та первісна перевірка повинні бути пройдені.

Пояснення: Цей розділ детально описує точне виконання техніки атакуючого (TTP), призначене для виклику правила виявлення. Команди та описи безпосередньо відображають визначені TTP з ціллю генерування точної телеметрії, очікуваної логікою виявлення.

  • Опис атаки та команди:
    Оператор APT отримує електронний лист із фішингом з шкідливою програмою, яка має вкладення Office з макросом. Після відкриття, макрос скидає два файли з вантажем —Cybersecurity.doc and CertificationKit.ini— у директорію ProgramData щоб приховати їх у розташуванні, довіреному багатьма додатками. Макрос використовує PowerShell для запису файлів, що створює події створення файлів Sysmon, які відстежує правило виявлення.

  • Тестовий скрипт для регресії:

    # -------------------------------------------------
# Симуляція скидання файлів MuddyWater APT (Windows)
# -------------------------------------------------
$progData = $Env:ProgramData

# Визначити вміст завантажувального файлу (дані для тестування)
$docContent = "Це муляжний документ з кібербезпеки, використаний для тестового виявлення."
$iniContent = "[Settings]`nKey=Value`n"

# Створити Cybersecurity.doc
$docPath = Join-Path -Path $progData -ChildPath "Cybersecurity.doc"
$docContent | Out-File -FilePath $docPath -Encoding UTF8

# Створити CertificationKit.ini
$iniPath = Join-Path -Path $progData -ChildPath "CertificationKit.ini"
$iniContent | Out-File -FilePath $iniPath -Encoding UTF8

Write-Host "Створені файли симуляції MuddyWater:"
Write-Host "`t$docPath"
Write-Host "`t$iniPath"
# -------------------------------------------------

  • Команди очищення:

    # Видалити артефакти симуляції
Remove-Item -Path "$Env:ProgramDataCybersecurity.doc" -ErrorAction SilentlyContinue
Remove-Item -Path "$Env:ProgramDataCertificationKit.ini" -ErrorAction SilentlyContinue
Write-Host "Файли симуляції видалено."

Приєднуйтесь до платформи Detection as Code від SOC Prime щоб покращити видимість загроз, найбільш актуальних для вашого бізнесу. Щоб допомогти вам почати і забезпечити негайну користь, заплануйте зустріч з експертами SOC Prime.

Приєднатися безкоштовно