[BAYCOMS] MuddyWater เปิดตัว "RustyWater" มัลแวร์ภาษา Rust เจาะกลุ่มเป้าหมายในตะวันออกกลาง ในช่วงไม่กี่สัปดาห์ที่ผ่านมา วงการความปลอดภัยทางไซเบอร์ได้ตรวจพบความเคลื่อนไหวที่น่าสนใจของ MuddyWater กลุ่มภัยคุกคามระ

สำรวจ
ลงทุน
คำถาม

มีบัญชีอยู่แล้ว?หรือ

•

27 ม.ค. เวลา 03:00 • วิทยาศาสตร์ & เทคโนโลยี

MuddyWater เปิดตัว "RustyWater" มัลแวร์ภาษา Rust เจาะกลุ่มเป้าหมายในตะวันออกกลาง

ในช่วงไม่กี่สัปดาห์ที่ผ่านมา วงการความปลอดภัยทางไซเบอร์ได้ตรวจพบความเคลื่อนไหวที่น่าสนใจของ MuddyWater กลุ่มภัยคุกคามระดับสูง (APT) ที่เชื่อมโยงกับกระทรวงข่าวกรองและความมั่นคงของอิหร่าน (MOIS) โดยครั้งนี้พวกเขาไม่ได้มาพร้อมกับเครื่องมือเดิมๆ แต่ได้เปิดตัวมัลแวร์ตัวใหม่ที่มีชื่อว่า "RustyWater" ซึ่งสะท้อนถึงวิวัฒนาการที่เพิ่มขึ้นไปอีกขั้นของกลุ่มนี้

1. กลยุทธ์การโจมตีที่ใช้ "ความน่าเชื่อถือ" เป็นอาวุธ

กลุ่ม MuddyWater ยังคงเลือกใช้เทคนิค Spear-phishing ที่คลาสสิกแต่ได้ผลเสมอ โดยการส่งอีเมลที่ปลอมแปลงเป็น "คำแนะนำด้านความปลอดภัยทางไซเบอร์" (Cybersecurity Guidelines) เพื่อล่อลวงเจ้าหน้าที่ในองค์กรระดับชาติ เช่น ภาคการทูต, การขนส่งทางเรือ, การเงิน และโทรคมนาคม ให้ตายใจ โดยมีขั้นตอนการโจมตีดังนี้

อีเมลหลอกลวง: เหยื่อได้รับอีเมลพร้อมไฟล์ Microsoft Word

VBA Macro: เมื่อเปิดไฟล์ เหยื่อจะถูกหลอกให้กด "Enable Content" ซึ่งเป็นการรันสคริปต์เบื้องหลัง

การติดตั้ง: Macro จะทำการดาวน์โหลดและติดตั้งมัลแวร์ RustyWater (ซึ่งเป็นไฟล์ Binary ที่เขียนด้วยภาษา Rust) ลงในเครื่องทันที

2. ทำไมต้องภาษา Rust? (The Shift to Rust)

ประเด็นที่น่าจับตามองที่สุดคือ การเปลี่ยนจากการใช้สคริปต์พื้นฐานอย่าง PowerShell หรือ VBScript มาเป็นภาษา Rust ซึ่งให้ข้อดีกับแฮกเกอร์หลายด้าน คือ

ตรวจจับได้ยากขึ้น (Low Noise): มัลแวร์ที่เขียนด้วย Rust มักจะหลบหลีกการตรวจจับของแอนตี้ไวรัสแบบดั้งเดิมได้ดีกว่า

โครงสร้างแบบโมดูลาร์: สามารถเพิ่มความสามารถ (Plugin) ใหม่ๆ เข้าไปได้ภายหลังการบุกรุกสำเร็จ

ประสิทธิภาพสูง: มีความเสถียรและทำงานได้รวดเร็ว ลดโอกาสที่ระบบจะเกิดความผิดปกติจนเหยื่อสงสัย

3. ขีดความสามารถของ RustyWater (Archer RAT)

เมื่อมัลแวร์ตัวนี้เข้าไปฝังตัวในระบบได้สำเร็จ มันจะทำหน้าที่เป็น Remote Access Trojan (RAT) ที่มีความสามารถรอบด้าน

Information Gathering: เก็บข้อมูลเครื่องของเหยื่อและตรวจสอบว่ามีซอฟต์แวร์ความปลอดภัยตัวไหนทำงานอยู่บ้าง

Registry Persistence: เขียนค่าลงใน Windows Registry เพื่อให้มัลแวร์กลับมาทำงานได้โดยอัตโนมัติแม้จะมีการรีสตาร์ทเครื่อง

Asynchronous C2: ติดต่อสื่อสารกับเซิร์ฟเวอร์ในการควบคุม (Command-and-Control) แบบไม่ประสานเวลา เพื่อหลีกเลี่ยงการตรวจจับพฤติกรรมรับ-ส่งข้อมูลที่ผิดปกติ

4. สัญญาณเตือนถึงการปรับตัวของกลุ่ม APT

การเปลี่ยนแปลงครั้งนี้ตอกย้ำว่า MuddyWater กำลังพยายามลดการพึ่งพาซอฟต์แวร์ Remote Access ทั่วไปที่ถูกกฎหมาย และหันมาสร้าง "คลังอาวุธส่วนตัว" (Custom Malware Arsenal) ที่มีความซับซ้อนสูงขึ้น เช่น Phoenix, BugSleep และล่าสุดคือ RustyWater

สำหรับองค์กรในไทย แม้เป้าหมายหลักในแคมเปญนี้จะอยู่ที่ตะวันออกกลางและอิสราเอล แต่เทคนิคการใช้มัลแวร์ภาษา Rust และการปลอมแปลงไอคอน (Icon Spoofing) เป็นสิ่งที่ทีม SOC และ Blue Team ควรเฝ้าระวังและอัปเดตระบบตรวจจับให้เท่าทัน

Ref : https://thehackernews.com/2026/01/muddywater-launches-rustywater-rat-via.html

นึกถึงเรื่องความปลอดภัยทางไซเบอร์ ไว้ใจ BAYCOMS

Your Trusted Cybersecurity Partner .

ติดต่อสอบถามหรือปรึกษาเราได้ที่ :

Bay Computing Public Co., Ltd

Tel: 02-115-9956

Email: info@baycoms.com

Website: www.baycoms.com

#BAYCOMS #YourTrustedCybersecurityPartner #MuddyWater #Rust

โฆษณา

ดาวน์โหลดแอปพลิเคชัน

MuddyWater เปิดตัว "RustyWater" มัลแวร์ภาษา Rust เจาะกลุ่มเป้าหมายในตะวันออกกลาง

ดาวน์โหลดแอปพลิเคชัน