عرض خصم التراخيص المتعددة
قاعدة بيانات التهديد البرمجيات الخبيثة UDPGangster Backdoor

UDPGangster Backdoor

بواسطة Mezo في البرمجيات الخبيثة, التهديد المستمر المتقدم (APT), الأبواب الخلفية
ترجمة الى:

كشفت حملة تهديدات منسوبة إلى جماعة MuddyWater المرتبطة بإيران عن استخدام برمجية خبيثة جديدة تُعرف باسم UDPGangster. بخلاف البرمجيات الخبيثة التقليدية التي تعتمد على بروتوكول TCP، تستخدم هذه البرمجية بروتوكول مخطط بيانات المستخدم كقناة للتحكم والقيادة، مما يُصعّب على حلول الأمن التقليدية اكتشاف بياناتها. بمجرد تفعيلها، تُتيح البرمجية الخبيثة التلاعب الكامل عن بُعد بالأنظمة المُخترقة، مما يُتيح تنفيذ الأوامر وسرقة الملفات ونشر برمجيات خبيثة ثانوية.

دوافع الاستهداف الإقليمي والتجسس

أفاد باحثون بأنه تم تحديد هوية الضحايا بشكل رئيسي في تركيا وإسرائيل وأذربيجان. وتشير طبيعة العملية، بالإضافة إلى تركيزها الجغرافي، إلى جهود تجسسية مُستهدفة تهدف إلى جمع المعلومات الاستخبارية وترسيخ مواقع نائية في بيئات حساسة.

إغراءات التصيد والمستندات الضارة

يعتمد المهاجمون بشدة على التصيد الاحتيالي الموجه لاختراق الشبكات. أُرسلت رسائل بريد إلكتروني تنتحل صفة وزارة خارجية جمهورية شمال قبرص التركية إلى متلقين غير مرتابين، تتضمن دعوات زائفة لحضور ندوة إلكترونية بعنوان "الانتخابات الرئاسية ونتائجها".

أُرفقت بهذه الرسائل الإلكترونية نسختان متطابقتان من الوثيقة الخبيثة: ملف ZIP باسم seminer.zip وملف Word باسم seminer.doc. عند فتح الملف، يطلب من المستخدم تفعيل وحدات الماكرو، مما يسمح بتشغيل حمولته المضمنة بصمت. ولإخفاء النشاط الخبيث، يعرض الماكرو صورة وهمية باللغة العبرية من شركة الاتصالات الإسرائيلية "بيزك"، يُفترض أنها تصف انقطاعات الخدمة المخطط لها في أوائل نوفمبر 2025.

تنفيذ الماكرو وتسليم الحمولة

بمجرد تفعيل وحدات الماكرو، يستخدم المُرسِل حدث Document_Open() لفك تشفير بيانات Base64 المخزنة داخل حقل نموذج مخفي تلقائيًا. يُكتب المحتوى الناتج إلى:

C:\Users\Public\ui.txt

يتم بعد ذلك تشغيل هذا الملف عبر واجهة برمجة تطبيقات Windows CreateProcessA، مما يؤدي إلى بدء تشغيل الباب الخلفي UDPGangster.

التخفي بالتصميم: المثابرة وتكتيكات مكافحة التحليل

يُؤمّن UDPGangster وجوده على المُضيف من خلال استمرارية سجل ويندوز. كما يُدمج مجموعة واسعة من تقنيات مُكافحة التحليل التي تهدف إلى إحباط البيئات الافتراضية، وصناديق الحماية، والتدقيق الجنائي. وتشمل هذه:

  • فحوصات البيئة والمحاكاة الافتراضية
  • اختبار التصحيح النشط
  • فحص خصائص وحدة المعالجة المركزية بحثًا عن علامات الآلات الافتراضية
  • تحديد الأنظمة التي تحتوي على أقل من 2 جيجابايت من ذاكرة الوصول العشوائي (RAM)
  • التحقق من صحة بادئات عنوان MAC للكشف عن بائعي الأجهزة الافتراضية
  • التحقق مما إذا كان الجهاز ينتمي إلى مجموعة عمل Windows الافتراضية
  • البحث عن العمليات مثل VBoxService.exe، وVBoxTray.exe، وvmware.exe، وvmtoolsd.exe
  • مراجعة إدخالات التسجيل لمعرفات المحاكاة الافتراضية، بما في ذلك VBox، وVMBox، وQEMU، وVIRTUAL، وVIRTUALBOX، وVMWARE، وXen
  • البحث عن أدوات الحماية المعروفة أو أدوات التصحيح
  • تحديد ما إذا كان التنفيذ يحدث داخل بيئة التحليل

فقط بعد إتمام هذه الفحوصات، يبدأ البرنامج الخبيث باستخراج بيانات النظام والتواصل مع خادمه الخارجي عبر منفذ UDP 1269 على 157.20.182[.]75. من خلال هذه القناة، يمكنه تشغيل أوامر shell عبر cmd.exe، ونقل الملفات، وتحديث تفاصيل التكوين، ونشر حمولات المتابعة.

القدرات التشغيلية وسرقة البيانات

بعد التحقق، يجمع البرنامج الخبيث بيانات تعريف النظام ويرسلها إلى خادم القيادة والتحكم (C2) البعيد. يتيح اتصاله القائم على بروتوكول UDP للمهاجمين التفاعل مع الجهاز المُصاب آنيًا، مُصدرًا تعليمات له بتنفيذ الأوامر، أو ترقية المنفذ الخلفي، أو تثبيت وحدات خبيثة إضافية حسب الحاجة. يدعم هذا الهيكل كلاً من عمليات الاستطلاع والتجسس طويلة المدى.

التخفيف والتوعية

لأن سلسلة العدوى تعتمد على مستندات التصيد الاحتيالي المُفعّلة بوحدات الماكرو، يبقى وعي المستخدم إجراءً دفاعيًا بالغ الأهمية. يجب التعامل بحذر شديد مع المرفقات المشبوهة أو غير المرغوب فيها، وخاصةً تلك التي تحث على تفعيل وحدات الماكرو. ينبغي على المؤسسات فرض قيود على وحدات الماكرو، ونشر حلول مراقبة السلوك، وتدريب المستخدمين على تمييز أساليب التصيد الاحتيالي المُستهدفة.

التدابير الدفاعية الموصى بها

  • تقييد أو تعطيل وحدات الماكرو في جميع أنحاء المؤسسة.
  • نشر حماية نقطة النهاية القادرة على اكتشاف القطارات المستندة إلى الماكرو.
  • راقب حركة مرور UDP الصادرة غير المعتادة.
  • محاولات الاتصال بالعلم إلى المنافذ غير المعروفة أو المشبوهة.
  • تثقيف الموظفين حول مؤشرات التصيد المستهدفة.

من خلال الجمع بين أساليب الإغراء الخادعة، وتنفيذ الهجمات الكبرى الخفية، وأساليب التهرب المتطورة، تُظهر حملة UDPGangster التي أطلقتها MuddyWater تركيزًا متجددًا على الوصول السري وجمع المعلومات الاستخبارية الإقليمية. يُعدّ اليقظة ضد الهجمات المستندة إلى الوثائق أمرًا أساسيًا لمنع هذه التهديدات من ترسيخ وجودها.

الشائع

Trustedspotsearch.com

المواقع المارقة, برامج إعلانية, البرامج غير المرغوب فيها
حماية نظامك من البرامج المتطفلة وغير الموثوقة أمرٌ أساسيٌّ لضمان تجربة تصفح آمنة وموثوقة. غالبًا ما تتخفى البرامج غير المرغوب فيها (PUPs) كأدواتٍ مفيدة، إلا أنها قد تُغيّر إعدادات المتصفح سرًا،...

Trustedfiltersearch.com

المواقع المارقة, متصفحات الخاطفين, البرامج غير المرغوب فيها
حماية أجهزة الكمبيوتر من البرامج المتطفلة وغير الموثوقة أمرٌ بالغ الأهمية للحفاظ على بيئة تصفح آمنة. قد تبدو البرامج غير المرغوبة غير الضارة للوهلة الأولى، لكن سلوكها التخريبي غالبًا ما يؤدي إلى...

الأكثر مشاهدة

البرمجيات الخبيثة

التصيد الاحتيالي, رسائل إلكترونية مزعجة
30,646
رسالة الاحتيال "Apple Pay Suspended" هي نوع من أساليب التصيد الاحتيالي التي تستهدف مستخدمي Apple Pay. تدعي الرسالة أن محفظة Apple Pay الخاصة بالمستخدم قد تم تعليقها وتحثهم على النقر فوق رابط لاستعادتها. ومع ذلك ، سيؤدي النقر فوق الارتباط إلى نقل المستخدم إلى موقع ويب مزيف مصمم لسرقة معلوماته الشخصية والمالية. إذا وقع المستخدم ضحية لهذا المخطط ، فقد تكون العواقب وخيمة ، بما في ذلك الخسائر...
جار التحميل...