UDPGangsterio užpakalinės durys

Su Iranu susijusiai grupuotei „MuddyWater“ priskiriama grėsmių kampanija atskleidė naujai identifikuotų „užpakalinių durų“ tipo programų, pavadintų „UDPGangster“, diegimą. Skirtingai nuo įprastos kenkėjiškos programos, kuri remiasi TCP pagrindu veikiančia komunikacija, ši priemonė kaip komandų ir valdymo kanalą naudoja vartotojo duomenų diagramos protokolą (User Datagram Protocol), todėl tradiciniams saugumo sprendimams sunkiau aptikti jos srautą. Kai užpakalinės durys tampa aktyvios, jos leidžia nuotoliniu būdu valdyti pažeistas sistemas, vykdyti komandas, vogti failus ir platinti antrinę kenkėjišką programinę įrangą.

Regioninis taikinys ir šnipinėjimo motyvai

Tyrėjai praneša, kad aukos daugiausia buvo nustatytos Turkijoje, Izraelyje ir Azerbaidžane. Operacijos pobūdis kartu su jos geografiniu fokusavimu rodo tikslines šnipinėjimo pastangas, kuriomis siekiama rinkti žvalgybinę informaciją ir užkariauti nuotolines pozicijas jautriose aplinkose.

Sukčiavimo atakų viliokliai ir kenkėjiški dokumentai

Užpuolikai, norėdami įsiskverbti į tinklus, daugiausia naudojasi spearphishing atakomis. El. laiškai, apsimetantys Šiaurės Kipro Turkijos Respublikos užsienio reikalų ministerija, buvo išsiųsti nieko neįtariantiems gavėjams, melagingai kviečiant juos į internetinį seminarą pavadinimu „Prezidento rinkimai ir rezultatai“.

Prie šių el. laiškų buvo pridėtos dvi identiškos kenkėjiško dokumento versijos: ZIP archyvas pavadinimu „seminer.zip“ ir „Word“ failas pavadinimu „seminer.doc“. Atidarius dokumentą, vartotojas raginamas įjungti makrokomandas, kad įterptasis turinys galėtų veikti tyliai. Siekiant užmaskuoti kenkėjišką veiklą, makrokomanda rodo hebrajų kalba parašytą Izraelio telekomunikacijų tiekėjo „Bezeq“ masalo vaizdą, kuriame neva aprašomi planuojami paslaugų teikimo sutrikimai 2025 m. lapkričio pradžioje.

Makrokomandų vykdymas ir naudingosios apkrovos pristatymas

Kai makrokomandos aktyvuojamos, lašintuvas naudoja Document_Open() įvykį, kad automatiškai dekoduotų paslėptame formos lauke saugomus Base64 duomenis. Gautas turinys įrašomas į:

C:\Vartotojai\Public\ui.txt

Tada šis failas paleidžiamas per „Windows API CreateProcessA“, inicijuojant „UDPGangster“ galines duris.

Slaptumas pagal dizainą: atkaklumas ir antianalizės taktika

„UDPGangster“ apsaugo savo buvimą pagrindiniame kompiuteryje naudodamas „Windows“ registro išsaugojimą. Jis taip pat apima platų antianalizės metodų spektrą, skirtą virtualių aplinkų, smėlio dėžių ir teismo ekspertizės naikinimui. Tai apima:

• Aplinkos ir virtualizacijos patikrinimai
• Aktyvaus derinimo testavimas
• CPU charakteristikų tikrinimas ieškant virtualių mašinų požymių

• Sistemų, turinčių mažiau nei 2 GB RAM, identifikavimas

• MAC adreso prefiksų tikrinimas siekiant aptikti VM tiekėjus

• Tikrinama, ar įrenginys priklauso numatytajai „Windows“ darbo grupei

• Nuskaitomi tokie procesai kaip „VBoxService.exe“, „VBoxTray.exe“, „vmware.exe“ ir „vmtoolsd.exe“

• Registro įrašų peržiūra ieškant virtualizacijos identifikatorių, įskaitant VBox, VMBox, QEMU, VIRTUAL, VIRTUALBOX, VMWARE ir Xen

• Ieškoma žinomų smėlio dėžės arba derinimo paslaugų programų

• Nustatymas, ar vykdymas vyksta analizės aplinkoje

Tik atlikus šiuos patikrinimus, kenkėjiška programa pradeda išgauti sistemos duomenis ir bendrauti su išoriniu serveriu per UDP 1269 prievadą, esantį adresu 157.20.182[.]75. Per šį kanalą ji gali vykdyti apvalkalo komandas per cmd.exe, perkelti failus, atnaujinti konfigūracijos informaciją ir diegti tolesnius paketus.

Operatyviniai pajėgumai ir duomenų vagystės

Patvirtinus kenkėjiška programa surenka sistemos metaduomenis ir siunčia juos į nuotolinį C2 serverį. UDP pagrindu veikianti komunikacija leidžia užpuolikams realiuoju laiku sąveikauti su užkrėstu kompiuteriu, nurodant jam vykdyti komandas, atnaujinti galines duris arba, jei reikia, įdiegti papildomus kenkėjiškus modulius. Ši struktūra palaiko tiek žvalgybą, tiek ilgalaikes šnipinėjimo operacijas.

Švelninimas ir sąmoningumas

Kadangi užkrato grandinė priklauso nuo makrokomandas palaikančių sukčiavimo dokumentų, vartotojų informuotumas išlieka svarbia gynybos priemone. Įtartinus ar nepageidaujamus priedus, ypač tuos, kuriuose raginama aktyvuoti makrokomandas, reikėtų vertinti itin atsargiai. Organizacijos turėtų taikyti makrokomandų apribojimus, diegti elgsenos stebėjimo sprendimus ir apmokyti vartotojus atpažinti tikslinę sukčiavimo taktiką.

Rekomenduojamos gynybos priemonės

• Apriboti arba išjungti makrokomandas visoje organizacijoje.
• Įdiekite galinių taškų apsaugą, gebančią aptikti makrokomandomis pagrįstus „dropperius“.
• Stebėkite neįprastą išeinantį UDP srautą.
• Pažymėti ryšio bandymus su nežinomais arba įtartinais prievadais.
• Švieskite darbuotojus apie tikslinius sukčiavimo apsimetant atakų indikatorius.

Derindama apgaulingus masalus, slaptą makrokomandų vykdymą ir pažangius vengimo metodus, „MuddyWater“ kampanija „UDPGangster“ demonstruoja atnaujintą dėmesį slaptai prieigai ir regioniniam žvalgybos duomenų rinkimui. Budrumas dėl dokumentais pagrįstų atakų yra būtinas siekiant užkirsti kelią tokioms grėsmėms įsitvirtinti.