UDPGangster बैकडोर

ईरान से जुड़े समूह मडीवाटर द्वारा संचालित एक ख़तरा अभियान ने यूडीपीगैंगस्टर नामक एक नए पहचाने गए बैकडोर की तैनाती का खुलासा किया है। टीसीपी-आधारित संचार पर निर्भर रहने वाले पारंपरिक मैलवेयर के विपरीत, यह टूल यूज़र डेटाग्राम प्रोटोकॉल को अपने कमांड-एंड-कंट्रोल चैनल के रूप में उपयोग करता है, जिससे पारंपरिक सुरक्षा समाधानों के लिए इसके ट्रैफ़िक का पता लगाना और भी मुश्किल हो जाता है। एक बार सक्रिय होने पर, यह बैकडोर प्रभावित सिस्टम में पूरी तरह से दूरस्थ रूप से हेरफेर करता है, जिससे कमांड निष्पादन, फ़ाइल चोरी और द्वितीयक मैलवेयर का वितरण संभव हो जाता है।

क्षेत्रीय लक्ष्यीकरण और जासूसी उद्देश्य

शोधकर्ताओं की रिपोर्ट के अनुसार, पीड़ितों की पहचान मुख्य रूप से तुर्की, इज़राइल और अज़रबैजान में हुई है। इस अभियान की प्रकृति और इसके भौगोलिक केंद्र, एक लक्षित जासूसी प्रयास का संकेत देते हैं जिसका उद्देश्य खुफिया जानकारी इकट्ठा करना और संवेदनशील क्षेत्रों में दूरस्थ पैठ बनाना है।

फ़िशिंग प्रलोभन और दुर्भावनापूर्ण दस्तावेज़

हमलावर नेटवर्क में घुसपैठ करने के लिए स्पीयर-फ़िशिंग का बहुत ज़्यादा इस्तेमाल करते हैं। तुर्की गणराज्य के उत्तरी साइप्रस के विदेश मंत्रालय के नाम से अनजान लोगों को ईमेल भेजे गए, जिनमें उन्हें 'राष्ट्रपति चुनाव और परिणाम' शीर्षक से एक ऑनलाइन सेमिनार में आमंत्रित करने का झूठा न्यौता दिया गया।

इन ईमेल के साथ दुर्भावनापूर्ण दस्तावेज़ के दो समान संस्करण संलग्न थे: seminer.zip नामक एक ज़िप संग्रह और seminer.doc नामक एक वर्ड फ़ाइल। दस्तावेज़ को खोलने पर, यह उपयोगकर्ता को मैक्रोज़ सक्षम करने का संकेत देता है, जिससे इसका एम्बेडेड पेलोड चुपचाप चलता रहता है। दुर्भावनापूर्ण गतिविधि को छिपाने के लिए, मैक्रो इज़राइली दूरसंचार प्रदाता बेज़ेक की एक हिब्रू भाषा की नकली छवि प्रदर्शित करता है, जो कथित तौर पर नवंबर 2025 की शुरुआत में नियोजित सेवा व्यवधानों का वर्णन करती है।

मैक्रो निष्पादन और पेलोड वितरण

मैक्रोज़ सक्रिय होने के बाद, ड्रॉपर Document_Open() इवेंट का उपयोग करके एक छिपे हुए फ़ॉर्म फ़ील्ड में संग्रहीत Base64 डेटा को स्वचालित रूप से डिकोड करता है। परिणामी सामग्री यहाँ लिखी जाती है:

C:\Users\Public\ui.txt

इसके बाद यह फ़ाइल Windows API CreateProcessA के माध्यम से लॉन्च की जाती है, जिससे UDPGangster बैकडोर आरंभ होता है।

डिज़ाइन द्वारा चुपके: दृढ़ता और विश्लेषण-विरोधी रणनीतियाँ

UDPGangster विंडोज रजिस्ट्री पर्सिस्टेंस के माध्यम से होस्ट पर अपनी उपस्थिति सुनिश्चित करता है। इसमें वर्चुअल वातावरण, सैंडबॉक्स और फोरेंसिक जाँच को विफल करने के उद्देश्य से कई तरह की एंटी-एनालिसिस तकनीकें भी शामिल हैं। इनमें शामिल हैं:

• पर्यावरण और वर्चुअलाइजेशन जाँच
• सक्रिय डिबगिंग के लिए परीक्षण
• वर्चुअल मशीनों के संकेतों के लिए CPU विशेषताओं का निरीक्षण करना

• 2 GB से कम RAM वाले सिस्टम की पहचान करना

• VM विक्रेताओं का पता लगाने के लिए MAC पता उपसर्गों को मान्य करना

• जाँच करना कि क्या डिवाइस डिफ़ॉल्ट Windows कार्यसमूह से संबंधित है

• VBoxService.exe, VBoxTray.exe, vmware.exe, और vmtoolsd.exe जैसी प्रक्रियाओं के लिए स्कैनिंग

• वर्चुअलाइजेशन पहचानकर्ताओं के लिए रजिस्ट्री प्रविष्टियों की समीक्षा करना, जिनमें VBox, VMBox, QEMU, VIRTUAL, VIRTUALBOX, VMWARE, और Xen शामिल हैं

• ज्ञात सैंडबॉक्सिंग या डिबगिंग उपयोगिताओं की खोज करना

• यह निर्धारित करना कि क्या निष्पादन विश्लेषण वातावरण के भीतर हो रहा है

इन जाँचों के सफल होने के बाद ही मैलवेयर सिस्टम डेटा को बाहर निकालना शुरू करता है और 157.20.182[.]75 पर UDP पोर्ट 1269 पर अपने बाहरी सर्वर से संचार करता है। इस चैनल के माध्यम से, यह cmd.exe के माध्यम से शेल कमांड चला सकता है, फ़ाइलें स्थानांतरित कर सकता है, कॉन्फ़िगरेशन विवरण अपडेट कर सकता है, और अनुवर्ती पेलोड तैनात कर सकता है।

परिचालन क्षमताएं और डेटा चोरी

सत्यापन के बाद, मैलवेयर सिस्टम मेटाडेटा एकत्र करता है और उसे दूरस्थ C2 सर्वर पर भेजता है। इसका UDP-आधारित संचार हमलावरों को संक्रमित होस्ट के साथ वास्तविक समय में बातचीत करने, उसे आदेश निष्पादित करने, बैकडोर को अपग्रेड करने, या आवश्यकतानुसार अतिरिक्त दुर्भावनापूर्ण मॉड्यूल छोड़ने का निर्देश देने की अनुमति देता है। यह संरचना टोही और दीर्घकालिक जासूसी, दोनों तरह के अभियानों का समर्थन करती है।

शमन और जागरूकता

चूँकि संक्रमण श्रृंखला मैक्रो-सक्षम फ़िशिंग दस्तावेज़ों पर निर्भर करती है, इसलिए उपयोगकर्ता जागरूकता एक महत्वपूर्ण बचाव उपाय बनी हुई है। संदिग्ध या अवांछित अनुलग्नकों, विशेष रूप से मैक्रो सक्रियण को प्रोत्साहित करने वाले, के साथ अत्यधिक सावधानी बरती जानी चाहिए। संगठनों को मैक्रो प्रतिबंध लागू करने चाहिए, व्यवहार निगरानी समाधान लागू करने चाहिए, और उपयोगकर्ताओं को लक्षित फ़िशिंग युक्तियों को पहचानने के लिए प्रशिक्षित करना चाहिए।

अनुशंसित रक्षा उपाय

• पूरे संगठन में मैक्रोज़ को प्रतिबंधित या अक्षम करें.
• मैक्रो-आधारित ड्रॉपर्स का पता लगाने में सक्षम एंडपॉइंट सुरक्षा तैनात करें।
• असामान्य आउटबाउंड UDP ट्रैफ़िक की निगरानी करें.
• अज्ञात या संदिग्ध पोर्टों पर संचार प्रयासों को चिह्नित करें।
• लक्षित फ़िशिंग संकेतकों के बारे में कर्मचारियों को शिक्षित करें।

भ्रामक प्रलोभनों, गुप्त मैक्रो निष्पादन और उन्नत बचाव विधियों के संयोजन से, मडीवाटर का यूडीपीगैंगस्टर अभियान गुप्त पहुँच और क्षेत्रीय खुफिया जानकारी एकत्र करने पर नए सिरे से ज़ोर देता है। दस्तावेज़-आधारित हमलों के प्रति सतर्क रहना ऐसे खतरों को पैर जमाने से रोकने के लिए ज़रूरी है।