درِ پشتیِ UDPGangster

یک کمپین تهدید منتسب به گروه مرتبط با ایران، MuddyWater، از استقرار یک درب پشتی تازه شناسایی شده به نام UDPGangster خبر داده است. برخلاف بدافزارهای معمولی که به ارتباطات مبتنی بر TCP متکی هستند، این ابزار از پروتکل User Datagram به عنوان کانال فرماندهی و کنترل خود استفاده می‌کند و شناسایی ترافیک آن را برای راهکارهای امنیتی سنتی دشوارتر می‌سازد. پس از فعال شدن، این درب پشتی امکان دستکاری کامل از راه دور سیستم‌های آسیب‌دیده را فراهم می‌کند و امکان اجرای دستورات، سرقت فایل‌ها و ارائه بدافزار ثانویه را فراهم می‌کند.

هدف‌گیری منطقه‌ای و انگیزه‌های جاسوسی

محققان گزارش می‌دهند که قربانیان عمدتاً در ترکیه، اسرائیل و آذربایجان شناسایی شده‌اند. ماهیت این عملیات، همراه با تمرکز جغرافیایی آن، نشان‌دهنده یک تلاش جاسوسی هدفمند با هدف جمع‌آوری اطلاعات و دستیابی به پایگاه‌های دورافتاده در محیط‌های حساس است.

فریب‌های فیشینگ و اسناد مخرب

مهاجمان برای نفوذ به شبکه‌ها به شدت به فیشینگ هدفمند متکی هستند. ایمیل‌هایی که خود را به عنوان وزارت امور خارجه جمهوری ترک قبرس شمالی جا می‌زدند، برای گیرندگان بی‌خبر ارسال می‌شد و به دروغ آنها را به یک سمینار آنلاین با عنوان «انتخابات ریاست جمهوری و نتایج» دعوت می‌کرد.

دو نسخه یکسان از سند مخرب به این ایمیل‌ها پیوست شده بود: یک آرشیو ZIP با نام seminer.zip و یک فایل Word با نام seminer.doc. وقتی این سند باز می‌شود، از کاربر می‌خواهد که ماکروها را فعال کند و به این ترتیب، بدافزار جاسازی‌شده در آن می‌تواند بی‌صدا اجرا شود. برای پنهان کردن فعالیت مخرب، ماکرو یک تصویر جعلی به زبان عبری از شرکت مخابراتی Bezeq اسرائیل نمایش می‌دهد که ظاهراً وقفه‌های برنامه‌ریزی‌شده سرویس را در اوایل نوامبر ۲۰۲۵ توصیف می‌کند.

اجرای ماکرو و تحویل بار داده

پس از فعال شدن ماکروها، دراپر از رویداد Document_Open() برای رمزگشایی خودکار داده‌های Base64 ذخیره شده در یک فیلد فرم پنهان استفاده می‌کند. محتوای حاصل در مسیر زیر نوشته می‌شود:

C:\Users\Public\ui.txt

سپس این فایل از طریق رابط برنامه‌نویسی ویندوز CreateProcessA اجرا می‌شود و درب پشتی UDPGangster را فعال می‌کند.

طراحی مخفی‌کاری: تاکتیک‌های پایداری و ضدتحلیل

UDPGangster حضور خود را در میزبان از طریق پایداری رجیستری ویندوز تضمین می‌کند. همچنین طیف گسترده‌ای از تکنیک‌های ضد تجزیه و تحلیل را با هدف خنثی کردن محیط‌های مجازی، جعبه‌های شنی و بررسی‌های قانونی در بر می‌گیرد. این موارد عبارتند از:

• بررسی‌های محیط و مجازی‌سازی
• آزمایش برای اشکال‌زدایی فعال

تنها زمانی که این بررسی‌ها انجام شوند، بدافزار شروع به استخراج داده‌های سیستم و برقراری ارتباط با سرور خارجی خود در پورت UDP 1269 روی 157.20.182[.]75 می‌کند. از طریق این کانال، می‌تواند دستورات shell را از طریق cmd.exe اجرا کند، فایل‌ها را منتقل کند، جزئیات پیکربندی را به‌روزرسانی کند و بارهای داده بعدی را مستقر کند.

قابلیت‌های عملیاتی و سرقت داده‌ها

پس از اعتبارسنجی، بدافزار، فراداده‌های سیستم را جمع‌آوری کرده و آن را به سرور کنترل و فرمان (C2) از راه دور ارسال می‌کند. ارتباط مبتنی بر UDP آن به مهاجمان اجازه می‌دهد تا با میزبان آلوده به صورت بلادرنگ تعامل داشته باشند و به آن دستور دهند تا دستورات را اجرا کند، در پشتی را ارتقا دهد یا در صورت نیاز ماژول‌های مخرب اضافی را نصب کند. این ساختار از عملیات شناسایی و جاسوسی طولانی مدت پشتیبانی می‌کند.

کاهش خطر و آگاهی‌بخشی

از آنجا که زنجیره آلودگی به اسناد فیشینگ دارای ماکرو وابسته است، آگاهی کاربر همچنان یک اقدام دفاعی حیاتی است. با پیوست‌های مشکوک یا ناخواسته، به ویژه آن‌هایی که فعال‌سازی ماکرو را الزامی می‌کنند، باید با احتیاط شدید برخورد شود. سازمان‌ها باید محدودیت‌های ماکرو را اعمال کنند، راه‌حل‌های نظارت رفتاری را به کار گیرند و کاربران را برای تشخیص تاکتیک‌های فیشینگ هدفمند آموزش دهند.

اقدامات دفاعی توصیه شده

• ماکروها را در سراسر سازمان محدود یا غیرفعال کنید.
• محافظت از نقاط پایانی را که قادر به شناسایی دراپراتورهای مبتنی بر ماکرو است، پیاده‌سازی کنید.
• ترافیک خروجی غیرمعمول UDP را زیر نظر داشته باشید.
• تلاش‌های ارتباطی به سمت پورت‌های ناشناخته یا مشکوک را علامت‌گذاری کنید.
• کارکنان را در مورد شاخص‌های فیشینگ هدفمند آموزش دهید.

با ترکیب فریب‌های فریبنده، اجرای مخفیانه ماکرو و روش‌های پیشرفته فرار، کمپین UDPGangster از MuddyWater تأکید مجددی بر دسترسی پنهانی و جمع‌آوری اطلاعات منطقه‌ای نشان می‌دهد. هوشیاری در برابر حملات مبتنی بر اسناد برای جلوگیری از ایجاد جای پای چنین تهدیدهایی ضروری است.