18/69 (IT) ประจำวันจันทร์ที่ 12 มกราคม 2569
กลุ่ม MuddyWater ใช้มัลแวร์ RustyWater โจมตีหน่วยงานด้านการทูต การเงิน โทรคมนาคม และการขนส่งทางเรือในตะวันออกกลาง ผ่านแคมเปญ Spear-phishing ที่ปลอมเป็นอีเมลเกี่ยวกับคู่มือแนะนำด้านความปลอดภัยไซเบอร์ แนบไฟล์เอกสาร Word อันตราย เมื่อเหยื่อเปิดไฟล์และกด “Enable Content” จะรันมาโคร VBA เพื่อติดตั้งมัลแวร์ฝั่งไคลเอนต์ที่เขียนด้วยภาษา Rust ชื่อ RustyWater หรือ Archer RAT
CloudSEK ระบุว่า RustyWater มีความสามารถที่รองรับการจารกรรมและควบคุมเครื่องจากระยะไกล ทั้งการสื่อสารกับเซิร์ฟเวอร์สั่งการ (C2) แบบไม่ต้องรอการตอบกลับทันที การหลบเลี่ยงการวิเคราะห์ การฝังตัวผ่านคีย์ใน Windows Registry และรองรับโมดูลเสริมเพื่อขยายความสามารถหลังยึดเครื่องแล้ว มัลแวร์จะรวบรวมข้อมูลสภาพแวดล้อมของเครื่อง ตรวจหาซอฟต์แวร์รักษาความปลอดภัย และเชื่อมต่อไปยังโดเมน C2 “nomercys.it[.]com” เพื่อรับคำสั่งรวมถึงดำเนินการจัดการไฟล์และรันคำสั่งต่าง ๆ
MuddyWater หรือที่รู้จักในชื่อ Mango Sandstorm หรือ Static Kitten มักใช้ PowerShell, VBScript และซอฟต์แวร์ Remote Access ถูกกฎหมายเป็นหลัก แต่ระยะหลังพบการปรับใช้ชุดเครื่องมือมัลแวร์เฉพาะทางมากขึ้น เช่น Phoenix, UDPGangster, BugSleep (MuddyRot) และ MuddyViper การเพิ่ม RustyWater/RUSTRIC สะท้อนพัฒนาการไปสู่ RAT ที่มีโครงสร้างชัดเจน รองรับการทำงานแบบโมดูลาร์ และมี “สัญญาณรบกวน” ต่ำ ทำให้ตรวจจับได้ยากขึ้นในสภาพแวดล้อมองค์กร
แหล่งข่าว https://thehackernews.com/2026/01/muddywater-launches-rustywater-rat-via.html
