文章总结： 伊朗APT组织MuddyWater在针对中东的攻击中部署了新型Rust植入程序RustyWater。该恶意软件通过钓鱼邮件投递，具备反调试、字符串混淆及持久化能力，C2通信模仿合法服务。建议企业加强邮件安全过滤，开展反钓鱼培训并部署EDR进行检测。 综合评分： 86 文章分类： 威胁情报,恶意软件,免杀,安全运营,应急响应

伊朗MuddyWater组织在最新攻击中部署基于Rust的植入程序

FreeBuf

2026年1月14日 18:31 上海

网络安全公司CloudSEK披露，与伊朗有关联的高级持续性威胁组织MuddyWater近期在针对以色列和中东其他国家的间谍活动中，部署了基于Rust语言的恶意植入程序。

Part01

RustyWater恶意软件浮出水面

CloudSEK的TRIAD团队发现，该组织通过鱼叉式钓鱼攻击针对中东地区的外交、海事、金融和电信实体。攻击者使用图标欺骗技术和恶意Word文档来传播名为RustyWater的恶意软件，研究人员称这是”对其传统工具集的重大升级”。

“历史上，MuddyWater一直依赖PowerShell和VBS加载程序进行初始访问和入侵后操作，”该公司在博客中写道。”引入基于Rust的植入程序标志着其工具向更结构化、模块化和低噪音的远程访问木马(RAT)能力发展。”

根据美国网络安全和基础设施安全局(CISA)的信息，MuddyWater(微软追踪为Mango Sandstorm，ProofPoint标记为TA450)隶属于伊朗情报和安全部。安全公司表示，该组织至少自2017年以来一直活跃，针对中东、亚洲和欧洲的政府机构、电信运营商和关键基础设施。

Part02

攻击链分析

据博客文章披露，攻击链始于包含恶意ZIP压缩包的钓鱼邮件。压缩包中包含一个合法的PDF文档和一个伪装成PDF图标的可执行文件。当受害者执行该文件时，系统会显示诱饵PDF文档，同时暗中运行恶意软件。

初始加载程序通过修改Windows注册表实现持久化，并将RustyWater作为第二阶段有效载荷部署。该植入程序使用HTTP/HTTPS协议与命令控制(C2)基础设施通信，支持文件系统枚举、命令执行和数据窃取功能。

CloudSEK发现攻击者注册了模仿合法服务的C2域名，包括伪装成Dropbox和WordPress平台的基础设施。多个域名通过Hostinger注册，这家主机服务商被网络安全公司指出经常被威胁行为者滥用。

Part03

Rust语言带来的规避优势

研究人员表示，RustyWater采用Rust语言开发，这种语言因其内存安全特性和跨平台能力正被越来越多的恶意软件作者采用。安全研究人员指出，其他国家级黑客组织，包括俄罗斯的Gossamer Bear和中国背景的黑客，近期也在攻击活动中部署了基于Rust的恶意软件。

该植入程序包含对虚拟机环境、调试工具和沙箱系统的检测功能。”RustyWater开始执行时会建立反调试和防篡改机制，”研究人员写道。”它注册了一个向量化异常处理程序(VEH)来捕获调试尝试，并系统性地收集受害者机器信息，包括用户名、计算机名和域成员身份。”

据博客文章介绍，该恶意软件还使用字符串混淆和多阶段有效载荷投递技术。所有字符串都采用位置无关的XOR加密，并在C2回调之间实施随机睡眠间隔以避免检测。

Part04

攻击范围扩大

CloudSEK表示其调查主要关注以色列境内的目标，但研究人员发现的迹象表明MuddyWater可能已将攻击范围扩大到印度、阿联酋等地区的受害者。针对以色列实体的攻击活动中使用了与政府机构和以色列国防军相关的希伯来语诱饵文档。

安全研究人员指出，MuddyWater专注于旨在收集政府和军事情报的间谍活动。此前归因于该组织的攻击活动使用了多种远程访问工具和定制恶意软件家族，包括PhonyC2命令控制框架和SimpleHelp等合法的远程管理工具。

2024年11月，亚马逊威胁情报部门将MuddyWater的活动与随后的导弹袭击相关联，显示该组织在以色列和红海地区的攻击前访问了包含实时监控画面的被入侵服务器。CloudSEK建议组织加强电子邮件安全控制，开展安全意识培训帮助员工识别钓鱼尝试，并部署能够识别可疑进程行为和网络通信模式的终端检测与响应(EDR)解决方案。

参考来源：

Iran-linked MuddyWater APT deploys Rust-based implant in latest campaign

https://www.csoonline.com/article/4115379/iran-linked-muddywater-apt-deploys-rust-based-implant-in-latest-campaign.html

#

#

#

推荐阅读

#

电台讨论

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：FreeBuf 《伊朗MuddyWater组织在最新攻击中部署基于Rust的植入程序》