UDPGangster Backdoor
Кампания за заплахи, приписвана на свързаната с Иран група MuddyWater, разкри внедряването на новоидентифицирана задна вратичка, наречена UDPGangster. За разлика от конвенционалния зловреден софтуер, който разчита на комуникация, базирана на TCP, този инструмент използва протокола за потребителски дейтаграми (User Datagram Protocol) като свой канал за командване и контрол, което прави трафика му по-труден за откриване от традиционните решения за сигурност. Веднъж активна, задната вратичка осигурява пълна отдалечена манипулация на компрометирани системи, позволявайки изпълнение на команди, кражба на файлове и доставка на вторичен зловреден софтуер.
Съдържание
Регионално насочване и шпионски мотиви
Изследователите съобщават, че жертви са идентифицирани предимно в Турция, Израел и Азербайджан. Характерът на операцията, съчетан с географския ѝ фокус, сигнализира за целенасочена шпионска операция, насочена към събиране на разузнавателна информация и получаване на отдалечени опорни точки в чувствителна среда.
Фишинг примамки и злонамерени документи
Нападателите разчитат предимно на фишинг, за да проникнат в мрежи. Имейли, представящи се за Министерството на външните работи на Севернокипърската турска република, са били изпращани до нищо неподозиращи получатели, с фалшива покана за онлайн семинар, озаглавен „Президентски избори и резултати“.
Към тези имейли бяха прикачени две идентични версии на зловредния документ: ZIP архив с име seminer.zip и Word файл с име seminer.doc. При отваряне документът подканва потребителя да активира макроси, позволявайки на вградения му полезен товар да се изпълнява безшумно. За да маскира злонамерената дейност, макросът показва изображение-примамка на иврит от израелския телекомуникационен доставчик Bezeq, за което се предполага, че описва планирани прекъсвания на услугите в началото на ноември 2025 г.
Изпълнение на макроси и доставка на полезен товар
След като макросите са активирани, инструментът за отметка използва събитието Document_Open(), за да декодира автоматично Base64 данни, съхранени в скрито поле на формуляр. Полученото съдържание се записва в:
C:\Потребители\Публичен\ui.txt
След това този файл се стартира чрез Windows API CreateProcessA, инициирайки UDPGangster backdoor.
Стелт по дизайн: Упоритост и тактики против анализ
UDPGangster осигурява присъствието си на хоста чрез запазване на системния регистър на Windows. Той също така включва широк набор от техники за антианализ, насочени към осуетяване на виртуални среди, пясъчник и криминалистичен анализ. Те включват:
- Проверки на средата и виртуализацията
- Тестване за активно отстраняване на грешки
Едва когато тези проверки бъдат изчистени, зловредният софтуер започва да извлича системни данни и да комуникира с външния си сървър на UDP порт 1269 на 157.20.182[.]75. Чрез този канал той може да изпълнява команди на shell чрез cmd.exe, да прехвърля файлове, да актуализира подробности за конфигурацията и да разполага последващи полезни товари.
Оперативни възможности и кражба на данни
След валидиране, зловредният софтуер събира системни метаданни и ги изпраща до отдалечения C2 сървър. Неговата UDP-базирана комуникация позволява на атакуващите да взаимодействат със заразения хост в реално време, като му дават инструкции да изпълнява команди, да надгражда задната вратичка или да пуска допълнителни злонамерени модули, ако е необходимо. Тази структура поддържа както разузнавателни, така и дългосрочни шпионски операции.
Смекчаване и осведоменост
Тъй като веригата на заразяване зависи от фишинг документи с макроси, осведомеността на потребителите остава критична защитна мярка. Подозрителните или непоискани прикачени файлове, особено тези, които призовават за активиране на макроси, трябва да се третират с изключително внимание. Организациите трябва да налагат ограничения за макроси, да внедряват решения за поведенчески мониторинг и да обучават потребителите да разпознават целенасочени фишинг тактики.
Препоръчителни защитни мерки
- Ограничете или деактивирайте макросите в цялата организация.
- Внедрете защита на крайните точки, способна да открива макро-базирани дроппери.
- Следете за необичаен изходящ UDP трафик.
- Маркирайте опитите за комуникация към неизвестни или подозрителни портове.
- Обучете персонала относно целенасочените индикатори за фишинг.
Чрез комбиниране на измамни примамки, скрито изпълнение на макроси и усъвършенствани методи за избягване, кампанията UDPGangster на MuddyWater демонстрира подновен акцент върху тайния достъп и събирането на регионална разузнавателна информация. Бдението срещу атаки, базирани на документи, е от съществено значение за предотвратяване на установяването на подобни заплахи.
