Slevová nabídka pro více licencí
Databáze hrozeb Malware UDPGangster Backdoor

UDPGangster Backdoor

V roce Mezo v roce Malware, Pokročilá trvalá hrozba (APT), Zadní vrátka
Přeložit do:

Kampaň s hrozbami připisovaná skupině MuddyWater napojené na Írán odhalila nasazení nově identifikovaného backdooru s názvem UDPGangster. Na rozdíl od konvenčního malwaru, který se spoléhá na komunikaci založenou na TCP, tento nástroj využívá jako svůj kanál Command-and-Control protokol User Datagram Protocol, což ztěžuje detekci jeho provozu tradičními bezpečnostními řešeními. Jakmile je backdoor aktivní, umožňuje plnou vzdálenou manipulaci s napadenými systémy, což umožňuje provádění příkazů, krádež souborů a doručování sekundárního malwaru.

Regionální cílení a špionážní motivy

Výzkumníci uvádějí, že oběti byly identifikovány především v Turecku, Izraeli a Ázerbájdžánu. Povaha operace v kombinaci s jejím geografickým zaměřením naznačuje cílené špionážní úsilí zaměřené na shromažďování zpravodajských informací a získávání odlehlých opor v citlivých prostředích.

Phishingové návnady a škodlivé dokumenty

Útočníci se k infiltraci sítí silně spoléhají na spear-phishing. E-maily vydávající se za Ministerstvo zahraničních věcí Turecké republiky Severní Kypr byly rozeslány nic netušícím příjemcům a falešně je zvát na online seminář s názvem „Prezidentské volby a jejich výsledky“.

K těmto e-mailům byly přiloženy dvě identické verze škodlivého dokumentu: ZIP archiv s názvem seminer.zip a soubor Word s názvem seminer.doc. Po otevření dokument vyzve uživatele k povolení maker, což umožní tiché spuštění vloženého obsahu. Pro maskování škodlivé aktivity makro zobrazuje hebrejsky psaný návnadový obrázek od izraelského telekomunikačního poskytovatele Bezeq, který údajně popisuje plánované přerušení služeb začátkem listopadu 2025.

Spuštění makra a doručení datové části

Jakmile jsou makra aktivována, dropper využije událost Document_Open() k automatickému dekódování dat Base64 uložených ve skrytém poli formuláře. Výsledný obsah se zapíše do:

C:\Uživatelé\Veřejné\ui.txt

Tento soubor je poté spuštěn prostřednictvím rozhraní Windows API CreateProcessA, čímž se inicializují zadní vrátka UDPGangster.

Stealth by Design: Perzistence a taktiky proti analýze

UDPGangster zajišťuje svou přítomnost na hostiteli pomocí perzistence registru systému Windows. Obsahuje také širokou škálu antianalytických technik zaměřených na maření virtuálních prostředí, sandboxů a forenzního zkoumání. Patří mezi ně:

  • Kontroly prostředí a virtualizace
  • Testování aktivního ladění
  • Kontrola charakteristik CPU a nalezení známek virtuálních strojů
  • Identifikace systémů s méně než 2 GB RAM
  • Ověřování prefixů MAC adres pro detekci dodavatelů virtuálních počítačů
  • Kontrola, zda zařízení patří do výchozí pracovní skupiny Windows
  • Hledání procesů, jako jsou VBoxService.exe, VBoxTray.exe, vmware.exe a vmtoolsd.exe
  • Kontrola položek registru pro identifikátory virtualizace, včetně VBox, VMBox, QEMU, VIRTUAL, VIRTUALBOX, VMWARE a Xen
  • Hledání známých sandboxových nebo ladicích utilit
  • Určení, zda k provádění dochází v analytickém prostředí

    • Teprve po úspěšném absolvování těchto kontrol začne malware získávat systémová data a komunikovat se svým externím serverem na UDP portu 1269 na adrese 157.20.182[.]75. Prostřednictvím tohoto kanálu může spouštět příkazy shellu přes cmd.exe, přenášet soubory, aktualizovat podrobnosti konfigurace a nasazovat následné datové části.

    Provozní schopnosti a krádež dat

    Po ověření malware shromažďuje systémová metadata a odesílá je na vzdálený server C2. Jeho komunikace založená na UDP umožňuje útočníkům interagovat s infikovaným hostitelem v reálném čase a dávat mu instrukce k provádění příkazů, upgradu zadních vrátek nebo v případě potřeby k instalaci dalších škodlivých modulů. Tato struktura podporuje jak průzkumné, tak dlouhodobé špionážní operace.

    Zmírňování a zvyšování povědomí

    Protože řetězec infekce závisí na phishingových dokumentech s makroaktivitou, zůstává povědomí uživatelů klíčovým obranným opatřením. S podezřelými nebo nevyžádanými přílohami, zejména těmi, které nabádají k aktivaci maker, by se mělo zacházet s maximální opatrností. Organizace by měly vynucovat omezení maker, zavádět řešení pro monitorování chování a školit uživatele v rozpoznávání cílených phishingových taktik.

    Doporučená obranná opatření

    • Omezit nebo zakázat makra v celé organizaci.
    • Nasaďte ochranu koncových bodů schopnou detekovat zablokování maker.
    • Sledujte neobvyklý odchozí provoz UDP.
    • Označit pokusy o komunikaci s neznámými nebo podezřelými porty.
    • Vzdělávejte zaměstnance o cílených indikátorech phishingu.

    Kombinací klamných návnad, nenápadného provádění maker a pokročilých metod úniku demonstruje kampaň UDPGangster od MuddyWater obnovený důraz na skrytý přístup a regionální shromažďování zpravodajských informací. Ostražitost vůči útokům založeným na dokumentech je nezbytná pro zabránění tomu, aby se takové hrozby uchytily.

    Trendy

    Nejvíce shlédnuto

    Načítání...