Cotització de descompte per a múltiples llicències
Base de dades d'amenaces Programari maliciós Porta del darrere UDPGangster

Porta del darrere UDPGangster

El Mezo el Programari maliciós, Amenaça persistent avançada (APT), Portes del darrere
Traduir a:

Una campanya d'amenaces atribuïda al grup MuddyWater, vinculat a l'Iran, ha revelat el desplegament d'una porta del darrere recentment identificada anomenada UDPGangster. A diferència del programari maliciós convencional que es basa en la comunicació basada en TCP, aquesta eina utilitza el protocol de datagrames d'usuari com a canal de comandament i control, cosa que fa que el trànsit sigui més difícil de detectar per a les solucions de seguretat tradicionals. Un cop activa, la porta del darrere proporciona una manipulació remota completa dels sistemes compromesos, permetent l'execució d'ordres, el robatori d'arxius i el lliurament de programari maliciós secundari.

Segmentació regional i motius d’espionatge

Els investigadors informen que les víctimes han estat identificades principalment a Turquia, Israel i l'Azerbaidjan. La naturalesa de l'operació, combinada amb el seu enfocament geogràfic, indica un esforç d'espionatge dirigit a recopilar informació i obtenir punts de suport remots en entorns sensibles.

Esquers de phishing i documents maliciosos

Els atacants es basen en gran mesura en el spear-phishing per infiltrar-se a les xarxes. Es van enviar correus electrònics que suplantaven la identitat del Ministeri d'Afers Exteriors de la República Turca del Nord de Xipre a destinataris desprevinguts, convidant-los falsament a un seminari en línia titulat "Eleccions presidencials i resultats".

Adjuntaven a aquests correus electrònics dues versions idèntiques del document maliciós: un arxiu ZIP anomenat seminer.zip i un fitxer de Word titulat seminer.doc. Quan s'obre, el document demana a l'usuari que activi les macros, permetent que la càrrega útil integrada s'executi silenciosament. Per emmascarar l'activitat maliciosa, la macro mostra una imatge esquer en hebreu del proveïdor de telecomunicacions israelià Bezeq, que suposadament descriu les interrupcions de servei planificades a principis de novembre de 2025.

Execució de macros i lliurament de càrrega útil

Un cop activades les macros, el dropper aprofita l'esdeveniment Document_Open() per descodificar automàticament les dades Base64 emmagatzemades dins d'un camp de formulari ocult. El contingut resultant s'escriu a:

C:\Usuaris\Public\ui.txt

Aquest fitxer s'inicia a través de l'API de Windows CreateProcessA, iniciant la porta del darrere UDPGangster.

Furt per disseny: persistència i tàctiques antianàlisi

UDPGangster assegura la seva presència a l'amfitrió mitjançant la persistència del Registre de Windows. També incorpora una àmplia gamma de tècniques antianàlisi destinades a frustrar entorns virtuals, sandboxes i escrutini forense. Aquestes inclouen:

  • Comprovacions d'entorn i virtualització
  • Proves de depuració activa
  • Inspecció de les característiques de la CPU per detectar signes de màquines virtuals
  • Identificació de sistemes amb menys de 2 GB de RAM
  • Validació de prefixos d'adreça MAC per detectar proveïdors de màquines virtuals
  • Comprovació de si el dispositiu pertany al grup de treball predeterminat de Windows
  • Escaneig de processos com ara VBoxService.exe, VBoxTray.exe, vmware.exe i vmtoolsd.exe
  • Revisió d'entrades del registre per a identificadors de virtualització, inclosos VBox, VMBox, QEMU, VIRTUAL, VIRTUALBOX, VMWARE i Xen
  • Cerca d'utilitats conegudes de sandboxing o depuració
  • Determinar si l'execució s'està produint dins d'un entorn d'anàlisi

Només quan es superen aquestes comprovacions, el programari maliciós comença a exfiltrar dades del sistema i a comunicar-se amb el seu servidor extern al port UDP 1269 a 157.20.182[.]75. A través d'aquest canal, pot executar ordres de shell mitjançant cmd.exe, transferir fitxers, actualitzar detalls de configuració i implementar càrregues útils de seguiment.

Capacitats operatives i robatori de dades

Després de la validació, el programari maliciós recopila metadades del sistema i les envia al servidor C2 remot. La seva comunicació basada en UDP permet als atacants interactuar amb l'amfitrió infectat en temps real, indicant-li que executi ordres, actualitzi la porta del darrere o descarti mòduls maliciosos addicionals segons calgui. Aquesta estructura admet tant operacions de reconeixement com d'espionatge a llarg termini.

Mitigació i conscienciació

Com que la cadena d'infecció depèn de documents de phishing amb macros habilitades, la conscienciació de l'usuari continua sent una mesura de defensa crítica. Els fitxers adjunts sospitosos o no sol·licitats, en particular els que insten a l'activació de macros, s'han de tractar amb molta precaució. Les organitzacions han d'aplicar restriccions de macros, implementar solucions de monitorització del comportament i formar els usuaris per reconèixer les tàctiques de phishing dirigides.

Mesures de defensa recomanades

  • Restringir o desactivar les macros a tota l'organització.
  • Implementa una protecció de punt final capaç de detectar droppers basats en macros.
  • Monitoritzar el trànsit UDP de sortida inusual.
  • Marca els intents de comunicació a ports desconeguts o sospitosos.
  • Formar el personal sobre els indicadors de phishing dirigits a un públic objectiu.

Combinant esquers enganyosos, execució macro furtiva i mètodes d'evasió avançats, la campanya UDPGangster de MuddyWater demostra un èmfasi renovat en l'accés encobert i la recopilació d'intel·ligència regional. Mantenir-se alerta contra els atacs basats en documents és essencial per evitar que aquestes amenaces s'estableixin.

Tendència

Més vist

Carregant...