UDPGangster Backdoor

קמפיין איומים המיוחס לקבוצה MuddyWater, המקושרת לאיראן, חשף פריסה של דלת אחורית חדשה שזוהתה בשם UDPGangster. בניגוד לתוכנה זדונית קונבנציונלית המסתמכת על תקשורת מבוססת TCP, כלי זה משתמש בפרוטוקול User Datagram כערוץ פיקוד ובקרה, מה שמקשה על זיהוי התעבורה שלו עבור פתרונות אבטחה מסורתיים. לאחר פעילותה, הדלת האחורית מספקת שליטה מרחוק מלאה במערכות שנפרצו, ומאפשרת ביצוע פקודות, גניבת קבצים והעברת תוכנות זדוניות משניות.

מיקוד אזורי ומניעי ריגול

חוקרים מדווחים כי קורבנות זוהו בעיקר בטורקיה, ישראל ואזרבייג'ן. אופי המבצע, בשילוב עם המיקוד הגיאוגרפי שלו, מאותת על מאמץ ריגול ממוקד שמטרתו איסוף מודיעין והשגת דריסת רגל מרוחקת בסביבות רגישות.

פיתיונות פישינג ומסמכים זדוניים

התוקפים מסתמכים במידה רבה על שיטות חידוש (spear-phishing) כדי לחדור לרשתות. מיילים המתחזים למשרד החוץ של הרפובליקה הטורקית של צפון קפריסין נשלחו לנמענים תמימים, והזמינו אותם באופן שגוי לסמינר מקוון שכותרתו "בחירות לנשיאות ותוצאות".

למיילים אלו צורפו שתי גרסאות זהות של המסמך הזדוני: ארכיון ZIP בשם seminer.zip וקובץ Word בשם seminer.doc. עם פתיחתו, המסמך מבקש מהמשתמש להפעיל פקודות מאקרו, מה שמאפשר למטען המוטמע בו לפעול בשקט. כדי להסוות את הפעילות הזדונית, המאקרו מציג תמונת דמה בשפה העברית מספקית התקשורת הישראלית בזק, המתארת כביכול הפרעות שירות מתוכננות בתחילת נובמבר 2025.

ביצוע מאקרו ומסירת מטען

לאחר הפעלת פקודות מאקרו, ה-dropper ממנף את אירוע Document_Open() כדי לפענח אוטומטית נתוני Base64 המאוחסנים בשדה טופס מוסתר. התוכן המתקבל נכתב אל:

C:\משתמשים\ציבורי\ui.txt

קובץ זה מופעל לאחר מכן דרך CreateProcessA של ממשק ה-API של Windows, מה שמפעיל את הדלת האחורית של UDPGangster.

התגנבות בתכנון: טקטיקות התמדה ואנטי-אנליזה

UDPGangster מאבטח את נוכחותו במארח באמצעות שמירה על הרישום של Windows. הוא משלב גם מגוון רחב של טכניקות אנטי-אנליזה שמטרתן לסכל סביבות וירטואליות, ארגזי חול ובדיקה משפטית. אלה כוללים:

• בדיקות סביבה ווירטואליזציה
• בדיקה עבור ניפוי שגיאות פעיל
• בדיקת מאפייני המעבד לאיתור סימנים של מכונות וירטואליות

• זיהוי מערכות עם פחות מ-2 ג'יגה-בייט של זיכרון RAM

• אימות קידומות כתובות MAC כדי לזהות ספקי מכונות וירטואליות

• בדיקה אם ההתקן שייך לקבוצת העבודה המוגדרת כברירת מחדל של Windows

• סריקה אחר תהליכים כגון VBoxService.exe, VBoxTray.exe, vmware.exe ו- vmtoolsd.exe

• סקירת ערכי רישום עבור מזהי וירטואליזציה, כולל VBox, VMBox, QEMU, VIRTUAL, VIRTUALBOX, VMWARE ו-Xen

• חיפוש אחר כלי עזר ידועים לניפוי שגיאות או ארגז חול

• קביעה האם מתרחשת ביצוע בתוך סביבת ניתוח

רק כאשר בדיקות אלו מטופלות, התוכנה הזדונית מתחילה לחדור נתוני מערכת ולתקשר עם השרת החיצוני שלה ביציאת UDP 1269 בכתובת 157.20.182[.]75. דרך ערוץ זה, היא יכולה להריץ פקודות מעטפת דרך cmd.exe, להעביר קבצים, לעדכן פרטי תצורה ולפרוס מטענים עוקבים.

יכולות תפעוליות וגניבת נתונים

לאחר האימות, הנוזקה אוספת מטא-נתונים של המערכת ושולחת אותם לשרת C2 מרוחק. התקשורת מבוססת ה-UDP שלה מאפשרת לתוקפים לתקשר עם המארח הנגוע בזמן אמת, להורות לו לבצע פקודות, לשדרג את הדלת האחורית או להסיר מודולים זדוניים נוספים לפי הצורך. מבנה זה תומך הן בפעולות סיור והן בפעולות ריגול ארוכות טווח.

הפחתה ומודעות

מכיוון ששרשרת ההדבקה תלויה במסמכי פישינג המותאמים למאקרו, מודעות המשתמשים נותרה אמצעי הגנה קריטי. יש להתייחס בזהירות רבה לקבצים מצורפים חשודים או לא רצויים, במיוחד כאלה הדורשים הפעלת מאקרו. ארגונים צריכים לאכוף מגבלות מאקרו, לפרוס פתרונות ניטור התנהגותי ולאמן משתמשים לזהות טקטיקות פישינג ממוקדות.

אמצעי הגנה מומלצים

• הגבל או השבת פקודות מאקרו ברחבי הארגון.
• פרוס הגנת נקודות קצה המסוגלת לזהות טפטפות מבוססות מאקרו.
• ניטור אחר תעבורת UDP יוצאת חריגה.
• סמן ניסיונות תקשורת לפורטים לא ידועים או חשודים.
• הדרכת הצוות לגבי אינדיקטורים ממוקדים של פישינג.

על ידי שילוב של פיתיונות מטעים, ביצוע מאקרו חשאי ושיטות התחמקות מתקדמות, קמפיין UDPGangster של MuddyWater מדגים דגש מחודש על גישה חשאית ואיסוף מודיעין אזורי. שמירה על ערנות מפני התקפות מבוססות מסמכים חיונית למניעת התבססות איומים כאלה.