Các mục tiêu đặt tại Azerbaijan đã được chọn ra như một phần của chiến dịch mới được thiết kế để triển khai phần mềm độc hại dựa trên Rust trên các hệ thống bị xâm nhập.
Công ty an ninh mạng Deep Instinct đang theo dõi hoạt động dưới tên Chiến dịch Rusty Flag. Nó không được liên kết với bất kỳ tác nhân hoặc nhóm đe dọa nào đã biết.
"Hoạt động này có ít nhất hai vectơ truy cập ban đầu khác nhau", các nhà nghiên cứu bảo mật Simon Kenin, Ron Ben Yizhak và Mark Vaitzman cho biết trong một phân tích được công bố vào tuần trước. "Một trong những mồi nhử được sử dụng trong chiến dịch là một tài liệu sửa đổi đã được sử dụng bởi nhóm Storm-0978. Đây có thể là một 'lá cờ giả' có chủ ý".
Chuỗi tấn công tận dụng một tệp LNK có tên 1.KARABAKH.jpg.lnk làm bệ phóng để truy xuất tải trọng giai đoạn hai, trình cài đặt MSI, được lưu trữ trên Dropbox.
Về phần mình, tệp trình cài đặt thả một bộ cấy được viết bằng Rust, tệp XML cho tác vụ theo lịch trình để thực hiện cấy ghép và tệp hình ảnh mồi nhử có hình mờ biểu tượng của Bộ Quốc phòng Azerbaijan.
Một vectơ lây nhiễm thay thế là một tài liệu Microsoft Office có tên là "Overview_of_UWCs_UkraineInNATO_campaign.docx", khai thác CVE-2017-11882, một lỗ hổng tham nhũng bộ nhớ sáu năm tuổi trong Trình soạn thảo phương trình của Microsoft Office, để gọi URL Dropbox lưu trữ một tệp MSI khác phục vụ một biến thể của cùng một backdoor Rust.
Việc sử dụng Overview_of_UWCs_UkraineInNATO_campaign.docx là đáng chú ý, vì mồi nhử có cùng tên tệp đã được tận dụng bởi Storm-0978 (hay còn gọi là RomCom, Tropical Scorpius, UNC2596 và Void Rabisu) trong các cuộc tấn công mạng gần đây nhắm vào Ukraine khai thác lỗ hổng thực thi mã từ xa của Office (CVE-2023-36884).
"Hành động này trông giống như một nỗ lực cờ giả có chủ ý để ghim cuộc tấn công này vào Storm-0978", các nhà nghiên cứu cho biết.
Backdoor Rust, một trong số đó giả mạo là "WinDefenderHealth.exe", được trang bị khả năng thu thập thông tin từ máy chủ bị xâm nhập và gửi nó đến một máy chủ do kẻ tấn công kiểm soát.
Mục tiêu cuối cùng chính xác của chiến dịch vẫn chưa rõ ràng ở giai đoạn này. Đồng thời, khả năng đây có thể là một cuộc tập trận của đội đỏ vẫn chưa được xem nhẹ.
"Rust đang trở nên phổ biến hơn trong số các tác giả phần mềm độc hại", các nhà nghiên cứu cho biết. "Các sản phẩm bảo mật vẫn chưa phát hiện phần mềm độc hại Rust một cách chính xác và quy trình kỹ thuật đảo ngược phức tạp hơn."