Preventivo sconto multi-licenza
Database delle minacce Malware Backdoor UDPGangster

Backdoor UDPGangster

Entro Mezo nel Malware, Minaccia persistente avanzata (APT), Porte sul retro
Traduci in:

Una campagna di minacce attribuita al gruppo MuddyWater, legato all'Iran, ha rivelato l'implementazione di una backdoor di nuova identificazione, denominata UDPGangster. A differenza dei malware convenzionali che si basano sulla comunicazione basata su TCP, questo strumento utilizza il protocollo User Datagram Protocol come canale di comando e controllo, rendendo il suo traffico più difficile da rilevare per le soluzioni di sicurezza tradizionali. Una volta attiva, la backdoor consente la manipolazione remota completa dei sistemi compromessi, consentendo l'esecuzione di comandi, il furto di file e la distribuzione di malware secondario.

Motivi di spionaggio e di targeting regionale

I ricercatori riferiscono che le vittime sono state identificate principalmente in Turchia, Israele e Azerbaigian. La natura dell'operazione, unita alla sua focalizzazione geografica, segnala un'attività di spionaggio mirata, volta a raccogliere informazioni e a ottenere punti d'appoggio remoti in ambienti sensibili.

Esche di phishing e documenti dannosi

Gli aggressori fanno largo uso dello spear-phishing per infiltrarsi nelle reti. Sono state inviate email che si spacciavano per il Ministero degli Affari Esteri della Repubblica Turca di Cipro del Nord a destinatari ignari, invitandoli falsamente a un seminario online intitolato "Elezioni presidenziali e risultati".

Allegate a queste e-mail c'erano due versioni identiche del documento dannoso: un archivio ZIP denominato seminer.zip e un file Word denominato seminer.doc. Una volta aperto, il documento richiede all'utente di abilitare le macro, consentendo l'esecuzione silenziosa del payload incorporato. Per mascherare l'attività dannosa, la macro visualizza un'immagine esca in ebraico del provider di telecomunicazioni israeliano Bezeq, che presumibilmente descrive le interruzioni di servizio pianificate per l'inizio di novembre 2025.

Esecuzione di macro e consegna del payload

Una volta attivate le macro, il dropper sfrutta l'evento Document_Open() per decodificare automaticamente i dati Base64 memorizzati in un campo modulo nascosto. Il contenuto risultante viene scritto in:

C:\Utenti\Pubblico\ui.txt

Questo file viene quindi avviato tramite l'API Windows CreateProcessA, avviando la backdoor UDPGangster.

Stealth by Design: Persistenza e Tattiche Anti-Analisi

UDPGangster protegge la sua presenza sull'host tramite la persistenza del Registro di sistema di Windows. Incorpora inoltre un'ampia gamma di tecniche di anti-analisi volte a contrastare ambienti virtuali, sandbox e analisi forense. Tra queste, ricordiamo:

  • Controlli di ambiente e virtualizzazione
  • Test per il debug attivo
  • Ispezione delle caratteristiche della CPU per individuare segni di macchine virtuali
  • Identificazione dei sistemi con meno di 2 GB di RAM
  • Convalida dei prefissi degli indirizzi MAC per rilevare i fornitori di VM
  • Verifica se il dispositivo appartiene al gruppo di lavoro predefinito di Windows
  • Scansione di processi quali VBoxService.exe, VBoxTray.exe, vmware.exe e vmtoolsd.exe
  • Revisione delle voci del Registro di sistema per gli identificatori di virtualizzazione, inclusi VBox, VMBox, QEMU, VIRTUAL, VIRTUALBOX, VMWARE e Xen
  • Ricerca di utilità di sandboxing o debug note
  • Determinare se l'esecuzione avviene all'interno di un ambiente di analisi

Solo quando questi controlli vengono superati, il malware inizia a esfiltrare i dati di sistema e a comunicare con il suo server esterno sulla porta UDP 1269 su 157.20.182[.]75. Attraverso questo canale, può eseguire comandi shell tramite cmd.exe, trasferire file, aggiornare i dettagli di configurazione e distribuire payload di follow-up.

Capacità operative e furto di dati

Dopo la convalida, il malware raccoglie i metadati di sistema e li invia al server C2 remoto. La sua comunicazione basata su UDP consente agli aggressori di interagire con l'host infetto in tempo reale, istruendolo a eseguire comandi, aggiornare la backdoor o rilasciare moduli dannosi aggiuntivi, se necessario. Questa struttura supporta sia operazioni di ricognizione che di spionaggio a lungo termine.

Mitigazione e consapevolezza

Poiché la catena di infezione si basa su documenti di phishing con attivazione macro, la consapevolezza degli utenti rimane una misura di difesa fondamentale. Gli allegati sospetti o indesiderati, in particolare quelli che richiedono l'attivazione di macro, devono essere trattati con estrema cautela. Le organizzazioni dovrebbero applicare restrizioni sulle macro, implementare soluzioni di monitoraggio comportamentale e formare gli utenti a riconoscere le tattiche di phishing mirate.

Misure di difesa consigliate

  • Limitare o disabilitare le macro nell'intera organizzazione.
  • Distribuisci una protezione degli endpoint in grado di rilevare i dropper basati su macro.
  • Monitorare il traffico UDP in uscita insolito.
  • Segnala i tentativi di comunicazione verso porte sconosciute o sospette.
  • Informare il personale sugli indicatori di phishing mirati.

Combinando esche ingannevoli, esecuzione furtiva di macro e metodi di evasione avanzati, la campagna UDPGangster di MuddyWater dimostra una rinnovata attenzione all'accesso occulto e alla raccolta di informazioni di intelligence a livello regionale. Rimanere vigili contro gli attacchi basati su documenti è essenziale per impedire a tali minacce di prendere piede.

Tendenza

I più visti

Caricamento in corso...