UDPGangsteri tagauks

Iraaniga seotud rühmitusele MuddyWater omistatud äsja tuvastatud tagaukse UDPGangsteri kasutuselevõtt. Erinevalt tavapärasest pahavarast, mis tugineb TCP-põhisele sidele, kasutab see tööriist oma käsklus- ja juhtimiskanalina kasutaja datagrammi protokolli, mis muudab selle liikluse traditsiooniliste turvalahenduste jaoks raskemini tuvastatavaks. Kui tagauks on aktiivne, pakub see ohustatud süsteemide täielikku kaugjuhtimispuldi abil manipuleerimist, võimaldades käskude täitmist, failide varastamist ja teisese pahavara edastamist.

Regionaalne sihtimine ja spionaaži motiivid

Teadlased teatavad, et ohvreid on tuvastatud peamiselt Türgis, Iisraelis ja Aserbaidžaanis. Operatsiooni iseloom koos geograafilise fookusega viitab sihipärasele spionaažitegevusele, mille eesmärk on koguda luureandmeid ja saada tugipunkte tundlikes keskkondades.

Andmepüügi peibutised ja pahatahtlikud dokumendid

Ründajad toetuvad võrgustikesse imbumiseks suuresti andmepüügile. Põhja-Küprose Türgi Vabariigi välisministeeriumi nime all teesklevad e-kirjad saadeti pahaaimamatutele adressaatidele, kutsudes neid valelikult veebiseminarile pealkirjaga „Presidendivalimised ja tulemused“.

Nendele meilidele olid lisatud kaks identset versiooni pahatahtlikust dokumendist: ZIP-arhiiv nimega seminer.zip ja Wordi fail nimega seminer.doc. Dokumendi avamisel palutakse kasutajal lubada makrod, mis võimaldab sellesse manustatud sisul vaikselt töötada. Pahatahtliku tegevuse varjamiseks kuvab makro Iisraeli telekommunikatsioonifirma Bezeq heebreakeelset peibutuspilti, mis väidetavalt kirjeldab kavandatud teenusekatkestusi 2025. aasta novembri alguses.

Makrode täitmine ja kasuliku koormuse edastamine

Kui makrod on aktiveeritud, kasutab dropper sündmust Document_Open(), et automaatselt dekodeerida peidetud vormiväljal talletatud Base64 andmeid. Saadud sisu kirjutatakse:

C:\Users\Public\ui.txt

Seejärel käivitatakse see fail Windows API CreateProcessA kaudu, mis initsieerib UDPGangsteri tagaukse.

Varjatud disain: püsivus ja analüüsivastane taktika

UDPGangster kaitseb oma kohalolekut hostis Windowsi registri säilitamise kaudu. See sisaldab ka laia valikut analüüsivastaseid tehnikaid, mille eesmärk on takistada virtuaalseid keskkondi, liivakaste ja kohtuekspertiisi. Nende hulka kuuluvad:

• Keskkonna ja virtualiseerimise kontrollid
• Aktiivse silumise testimine
• Protsessori omaduste kontrollimine virtuaalsete masinate tunnuste suhtes

• Süsteemide tuvastamine, millel on vähem kui 2 GB muutmälu

• MAC-aadressi eesliidete valideerimine virtuaalmasinate tarnijate tuvastamiseks

• Seadme kuuluvuse kontrollimine Windowsi vaiketöörühma

• Selliste protsesside nagu VBoxService.exe, VBoxTray.exe, vmware.exe ja vmtoolsd.exe skannimine

• Virtualiseerimisidentifikaatorite (sh VBox, VMBox, QEMU, VIRTUAL, VIRTUALBOX, VMWARE ja Xen) registrikirjete ülevaatamine

• Tuntud liivakasti- või silumisutiliitide otsimine

• Analüüsikeskkonnas toimuva käivitamise kindlakstegemine

Alles siis, kui need kontrollid on läbitud, hakkab pahavara süsteemiandmeid välja filtreerima ja suhtlema oma välise serveriga UDP pordi 1269 kaudu aadressil 157.20.182[.]75. Selle kanali kaudu saab see käivitada kestakäsklusi cmd.exe kaudu, edastada faile, värskendada konfiguratsiooniandmeid ja juurutada järelkontrolle.

Operatiivsed võimed ja andmevargus

Pärast valideerimist kogub pahavara süsteemi metaandmeid ja saadab need kaug-C2 serverisse. Selle UDP-põhine side võimaldab ründajatel nakatunud hostiga reaalajas suhelda, andes sellele juhiseid käskude täitmiseks, tagaukse uuendamiseks või vajadusel täiendavate pahatahtlike moodulite paigutamiseks. See struktuur toetab nii luure- kui ka pikaajalisi spionaažioperatsioone.

Leevendamine ja teadlikkus

Kuna nakkusahel tugineb makrotoega andmepüügidokumentidele, on kasutajate teadlikkus endiselt kriitilise tähtsusega kaitsemeede. Kahtlastesse või soovimatutesse manustesse, eriti nendesse, mis nõuavad makro aktiveerimist, tuleks suhtuda äärmise ettevaatusega. Organisatsioonid peaksid jõustama makropiiranguid, rakendama käitumise jälgimise lahendusi ja koolitama kasutajaid sihitud andmepüügitaktika äratundmiseks.

Soovitatavad kaitsemeetmed

• Makrode piiramine või keelamine kogu organisatsioonis.
• Juurutage lõpp-punkti kaitse, mis on võimeline tuvastama makropõhiseid droppereid.
• Jälgige ebatavalist väljaminevat UDP liiklust.
• Märgistage sidekatsed tundmatute või kahtlaste portide kaudu.
• Harida töötajaid sihipäraste andmepüügiindikaatorite osas.

Petturlike peibutiste, varjatud makrovõtete teostamise ja täiustatud kõrvalehoidumismeetodite kombineerimise abil näitab MuddyWateri UDPGangsteri kampaania uut rõhku varjatud juurdepääsule ja piirkondlikule luureandmete kogumisele. Dokumendipõhiste rünnakute suhtes valvsaks jäämine on oluline, et takistada selliste ohtude kandepinda.