UDPGangster hátsó ajtó
Az iráni kötelékű MuddyWater csoporthoz köthető fenyegetési kampány során egy újonnan azonosított, UDPGangster névre keresztelt hátsó ajtót telepítettek. A hagyományos, TCP-alapú kommunikációra támaszkodó rosszindulatú programokkal ellentétben ez az eszköz a User Datagram Protocol-t használja parancs- és vezérlőcsatornaként, így a forgalma nehezebben észlelhető a hagyományos biztonsági megoldások számára. Aktiválás után a hátsó ajtó lehetővé teszi a feltört rendszerek teljes körű távoli manipulálását, lehetővé téve a parancsok végrehajtását, a fájllopást és a másodlagos rosszindulatú programok kézbesítését.
Tartalomjegyzék
Regionális célzás és kémkedési indítékok
A kutatók jelentése szerint az áldozatokat elsősorban Törökországban, Izraelben és Azerbajdzsánban azonosították. A művelet jellege, földrajzi fókuszával együtt, célzott kémkedési erőfeszítésre utal, amelynek célja hírszerzés és távoli megfosztás érzékeny környezetben.
Adathalász csalik és rosszindulatú dokumentumok
A támadók nagymértékben támaszkodnak a célzott adathalászatra (spear-phishing) a hálózatokba való beszivárgás során. Az Észak-ciprusi Török Köztársaság Külügyminisztériumának címzettjeit kiadó e-maileket gyanútlan címzetteknek küldték, hamisan meghívva őket egy „Elnökválasztások és eredmények” című online szemináriumra.
Az e-mailekhez csatolták a kártékony dokumentum két azonos verzióját: egy seminer.zip nevű ZIP archívumot és egy seminer.doc nevű Word fájlt. Megnyitáskor a dokumentum kéri a felhasználót, hogy engedélyezze a makrókat, lehetővé téve a beágyazott hasznos adat csendes futtatását. A kártékony tevékenység elrejtése érdekében a makró egy héber nyelvű csaliképet jelenít meg az izraeli Bezeq telekommunikációs szolgáltatótól, amely állítólag a 2025 november elejére tervezett szolgáltatáskimaradásokat írja le.
Makró végrehajtása és hasznos teher kézbesítése
Miután a makrók aktiválva vannak, a dropper a Document_Open() eseményt használja a rejtett űrlapmezőben tárolt Base64 adatok automatikus dekódolására. Az eredményül kapott tartalom a következő helyre kerül:
C:\Felhasználók\Nyilvános\ui.txt
Ez a fájl ezután a Windows API CreateProcessA-n keresztül indul el, aktiválva az UDPGangster hátsó ajtót.
Lopakodás a tervezéstől: Kitartás és elemzésellenes taktikák
Az UDPGangster a Windows rendszerleíró adatbázisának megőrzésével biztosítja jelenlétét a gazdagépen. Emellett számos anti-analízis technikát is tartalmaz, amelyek célja a virtuális környezetek, a sandboxok és a forenzikus vizsgálatok megakadályozása. Ezek a következők:
- Környezeti és virtualizációs ellenőrzések
- Aktív hibakeresés tesztelése
- CPU-jellemzők vizsgálata virtuális gépek jelei után kutatva
- 2 GB-nál kevesebb RAM-mal rendelkező rendszerek azonosítása
- MAC-cím előtagok validálása a virtuálisgép-szállítók észleléséhez
- Annak ellenőrzése, hogy az eszköz az alapértelmezett Windows munkacsoporthoz tartozik-e
- Olyan folyamatok keresése, mint a VBoxService.exe, VBoxTray.exe, vmware.exe és vmtoolsd.exe
- A virtualizációs azonosítók, beleértve a VBox, VMBox, QEMU, VIRTUAL, VIRTUALBOX, VMWARE és Xen azonosítókat tartalmazó beállításjegyzék-bejegyzések áttekintése
- Ismert sandboxing vagy hibakereső segédprogramok keresése
- Annak meghatározása, hogy a végrehajtás elemzési környezetben történik-e
Csak akkor kezdi meg a kártevő a rendszeradatok kiszivárgását és a külső szerverrel való kommunikációt a 157.20.182[.]75 címen található 1269-es UDP porton, ha ezek az ellenőrzések sikeresek. Ezen a csatornán keresztül parancsokat futtathat a cmd.exe fájlon keresztül, fájlokat vihet át, frissítheti a konfigurációs adatokat és telepíthet további hasznos adatokat.
Műveleti képességek és adatlopás
A validáció után a rosszindulatú program begyűjti a rendszer metaadatait, és elküldi azokat a távoli C2 szervernek. UDP-alapú kommunikációja lehetővé teszi a támadók számára, hogy valós időben lépjenek kapcsolatba a fertőzött gazdagéppel, utasítva azt parancsok végrehajtására, a hátsó ajtó frissítésére vagy további rosszindulatú modulok telepítésére, szükség szerint. Ez a struktúra mind a felderítő, mind a hosszú távú kémkedési műveleteket támogatja.
Mérséklés és tudatosság
Mivel a fertőzési lánc a makrókat használó adathalász dokumentumokon alapul, a felhasználók tudatossága továbbra is kritikus védelmi intézkedés. A gyanús vagy kéretlen mellékleteket, különösen azokat, amelyek makróaktiválásra szólítanak fel, rendkívüli óvatossággal kell kezelni. A szervezeteknek érvényesíteniük kell a makrókorlátozásokat, viselkedésfigyelő megoldásokat kell alkalmazniuk, és a felhasználókat ki kell képezniük a célzott adathalász taktikák felismerésére.
Ajánlott védekezési intézkedések
- Makrók korlátozása vagy letiltása a szervezet egészében.
- Telepítsen olyan végpontvédelmet, amely képes makróalapú dropperek észlelésére.
- Figyelje a szokatlan kimenő UDP forgalmat.
- Jelezze az ismeretlen vagy gyanús portokra irányuló kommunikációs kísérleteket.
- Tájékoztassa a személyzetet a célzott adathalászat jelzéseiről.
A megtévesztő csalik, a lopakodó makró-végrehajtás és a fejlett kitérési módszerek kombinálásával a MuddyWater UDPGangster kampánya megújult hangsúlyt fektet a titkos hozzáférésre és a regionális hírszerzésre. A dokumentumalapú támadásokkal szembeni éberség elengedhetetlen ahhoz, hogy az ilyen fenyegetések ne vesszenek el.
