Ponuda s popustom na više licenci
Baza prijetnji Malware UDPGangster Stražnja vrata

UDPGangster Stražnja vrata

Do Mezo. Malware, Napredna trajna prijetnja (APT), Stražnja vrata. godine
Prevedi na:

Kampanja prijetnji pripisana iranskoj skupini MuddyWater otkrila je implementaciju novootkrivenog backdoora nazvanog UDPGangster. Za razliku od konvencionalnog zlonamjernog softvera koji se oslanja na komunikaciju temeljenu na TCP-u, ovaj alat koristi User Datagram Protocol kao svoj kanal za upravljanje i kontrolu, što tradicionalnim sigurnosnim rješenjima otežava otkrivanje njegovog prometa. Nakon što je aktivan, backdoor omogućuje potpunu daljinsku manipulaciju kompromitiranim sustavima, omogućujući izvršavanje naredbi, krađu datoteka i isporuku sekundarnog zlonamjernog softvera.

Regionalno ciljanje i motivi špijunaže

Istraživači izvještavaju da su žrtve identificirane prvenstveno u Turskoj, Izraelu i Azerbajdžanu. Priroda operacije, u kombinaciji s njezinim geografskim fokusom, ukazuje na ciljani špijunski napor usmjeren na prikupljanje obavještajnih podataka i stjecanje udaljenih uporišta unutar osjetljivih okruženja.

Mamci za krađu identiteta i zlonamjerni dokumenti

Napadači se uvelike oslanjaju na spear-phishing kako bi se infiltrirali u mreže. E-poruke koje se lažno predstavljaju kao Ministarstvo vanjskih poslova Turske Republike Sjeverni Cipar poslane su ništa ne slutećim primateljima, lažno ih pozivajući na online seminar pod nazivom "Predsjednički izbori i rezultati".

Uz ove e-poruke priložene su dvije identične verzije zlonamjernog dokumenta: ZIP arhiva pod nazivom seminer.zip i Word datoteka pod nazivom seminer.doc. Kada se otvori, dokument traži od korisnika da omogući makroe, omogućujući tiho pokretanje ugrađenog sadržaja. Kako bi se prikrila zlonamjerna aktivnost, makro prikazuje lažnu sliku na hebrejskom jeziku izraelskog telekomunikacijskog davatelja usluga Bezeq, koja navodno opisuje planirane prekide usluge početkom studenog 2025.

Izvršavanje makroa i isporuka korisnog tereta

Nakon što se aktiviraju makroi, alat za umetanje koristi događaj Document_Open() za automatsko dekodiranje Base64 podataka pohranjenih unutar skrivenog polja obrasca. Rezultirajući sadržaj zapisuje se u:

C:\Korisnici\Javno\ui.txt

Ova se datoteka zatim pokreće putem Windows API-ja CreateProcessA, inicirajući UDPGangster backdoor.

Prikrivenost po dizajnu: Upornost i taktike protiv analize

UDPGangster osigurava svoju prisutnost na hostu putem perzistencije Windows registra. Također uključuje širok raspon tehnika anti-analize usmjerenih na sprječavanje virtualnih okruženja, sandboxova i forenzičke kontrole. To uključuje:

  • Provjere okruženja i virtualizacije
  • Testiranje aktivnog otklanjanja pogrešaka
  • Provjera karakteristika CPU-a za znakove virtualnih strojeva
  • Identificiranje sustava s manje od 2 GB RAM-a
  • Validacija prefiksa MAC adresa za otkrivanje dobavljača virtualnih strojeva
  • Provjera pripada li uređaj zadanoj radnoj grupi sustava Windows
  • Skeniranje procesa kao što su VBoxService.exe, VBoxTray.exe, vmware.exe i vmtoolsd.exe
  • Pregledavanje unosa u registru za identifikatore virtualizacije, uključujući VBox, VMBox, QEMU, VIRTUAL, VIRTUALBOX, VMWARE i Xen
  • Traženje poznatih sandbox ili uslužnih programa za otklanjanje pogrešaka
  • Utvrđivanje odvija li se izvršavanje unutar analitičkog okruženja

Tek kada se ove provjere prođu, zlonamjerni softver počinje s izvlačenjem sistemskih podataka i komunikacijom sa svojim vanjskim poslužiteljem na UDP portu 1269 na 157.20.182[.]75. Putem ovog kanala može pokretati naredbe ljuske putem cmd.exe, prenositi datoteke, ažurirati detalje konfiguracije i implementirati prateće podatke.

Operativne sposobnosti i krađa podataka

Nakon validacije, zlonamjerni softver prikuplja metapodatke sustava i šalje ih udaljenom C2 poslužitelju. Njegova UDP-bazirana komunikacija omogućuje napadačima interakciju sa zaraženim hostom u stvarnom vremenu, dajući mu upute za izvršavanje naredbi, nadogradnju backdoora ili postavljanje dodatnih zlonamjernih modula po potrebi. Ova struktura podržava i izviđačke i dugoročne špijunske operacije.

Ublažavanje i osvješćivanje

Budući da se lanac zaraze temelji na dokumentima za krađu identiteta s omogućenim makroima, svijest korisnika ostaje ključna obrambena mjera. Sumnjive ili neželjene priloge, posebno one koji potiču aktivaciju makroa, treba tretirati s krajnjim oprezom. Organizacije bi trebale provoditi ograničenja makroa, implementirati rješenja za praćenje ponašanja i obučiti korisnike da prepoznaju ciljane taktike krađe identiteta.

Preporučene obrambene mjere

  • Ograničite ili onemogućite makroe u cijeloj organizaciji.
  • Implementirajte zaštitu krajnjih točaka sposobnu za otkrivanje droppera temeljenih na makroima.
  • Pratite neobičan odlazni UDP promet.
  • Označi pokušaje komunikacije s nepoznatim ili sumnjivim portovima.
  • Educirajte osoblje o ciljanim pokazateljima phishinga.

Kombiniranjem varljivih mamaca, prikrivenog izvršavanja makroa i naprednih metoda izbjegavanja, MuddyWaterova kampanja UDPGangster pokazuje obnovljeni naglasak na tajni pristup i regionalno prikupljanje obavještajnih podataka. Održavanje opreza protiv napada temeljenih na dokumentima ključno je za sprječavanje takvih prijetnji da se učvrste.

U trendu

Nagledanije

Učitavam...