Vairāku licenču atlaides piedāvājums
Draudu datu bāze Ļaunprātīga programmatūra UDPGangster Backdoor

UDPGangster Backdoor

Līdz Mezo. gadam Ļaunprātīga programmatūra, Advanced Persistent Threat (APT), Aizmugures durvis. gadā
Tulkot uz:

Ar Irānu saistītās grupas MuddyWater īstenota apdraudējuma kampaņa ir atklājusi jaunatklātas aizmugures durvis ar nosaukumu UDPGangster izvietošanu. Atšķirībā no parastās ļaunprogrammatūras, kas balstās uz TCP saziņu, šis rīks kā komandu un vadības kanālu izmanto lietotāja datagrammu protokolu (User Datagram Protocol), apgrūtinot tradicionālajiem drošības risinājumiem tās datplūsmas atklāšanu. Kad tā ir aktīva, aizmugures durvis nodrošina pilnīgu attālinātu apdraudēto sistēmu manipulāciju, nodrošinot komandu izpildi, failu zādzību un sekundāras ļaunprogrammatūras piegādi.

Reģionālā mērķauditorijas atlase un spiegošanas motīvi

Pētnieki ziņo, ka upuri galvenokārt ir identificēti Turcijā, Izraēlā un Azerbaidžānā. Operācijas raksturs apvienojumā ar tās ģeogrāfisko fokusu liecina par mērķtiecīgu spiegošanas centienu, kura mērķis ir apkopot izlūkdienestus un iegūt attālas atbalsta zonas jutīgās vidēs.

Pikšķerēšanas ēsmas un ļaunprātīgi dokumenti

Uzbrucēji iefiltrējas tīklos, izmantojot mērķtiecīgu pikšķerēšanu. E-pasti, kas uzdevās par Ziemeļkipras Turcijas Republikas Ārlietu ministriju, tika nosūtīti neko nenojaušošiem adresātiem, maldinoši uzaicinot viņus uz tiešsaistes semināru ar nosaukumu "Prezidenta vēlēšanas un rezultāti".

Šīm e-pasta vēstulēm bija pievienotas divas identiskas ļaunprātīgā dokumenta versijas: ZIP arhīvs ar nosaukumu seminer.zip un Word fails ar nosaukumu seminer.doc. Atverot dokumentu, lietotājam tiek piedāvāts iespējot makro, ļaujot tajā iegultajam lietderīgajam saturam darboties klusi. Lai maskētu ļaunprātīgo darbību, makro parāda Izraēlas telekomunikāciju pakalpojumu sniedzēja Bezeq mānekļa attēlu ebreju valodā, kurā it kā aprakstīti plānotie pakalpojumu pārtraukumi 2025. gada novembra sākumā.

Makro izpilde un lietderīgās slodzes piegāde

Kad makro ir aktivizēti, pipete izmanto notikumu Document_Open(), lai automātiski atšifrētu Base64 datus, kas tiek glabāti slēptā veidlapas laukā. Iegūtais saturs tiek ierakstīts:

C:\Lietotāji\Public\ui.txt

Pēc tam šis fails tiek palaists, izmantojot Windows API CreateProcessA, inicializējot UDPGangster aizmugurējo durvju funkciju.

Slepenība pēc plāna: neatlaidība un antianalīzes taktika

UDPGangster nodrošina savu klātbūtni resursdatorā, izmantojot Windows reģistra saglabāšanas funkcijas. Tas ietver arī plašu antianalīzes metožu klāstu, kuru mērķis ir novērst virtuālās vides, smilškastes un forenzikas pārbaudi. Tās ietver:

  • Vides un virtualizācijas pārbaudes
  • Aktīvas atkļūdošanas testēšana
  • CPU raksturlielumu pārbaude, lai noteiktu virtuālo mašīnu pazīmes
  • Sistēmu identificēšana ar mazāk nekā 2 GB RAM
  • MAC adreses prefiksu validēšana, lai noteiktu VM piegādātājus
  • Pārbauda, vai ierīce pieder noklusējuma Windows darba grupai
  • Skenē tādus procesus kā VBoxService.exe, VBoxTray.exe, vmware.exe un vmtoolsd.exe
  • Reģistra ierakstu pārskatīšana, lai atrastu virtualizācijas identifikatorus, tostarp VBox, VMBox, QEMU, VIRTUAL, VIRTUALBOX, VMWARE un Xen.
  • Meklē zināmas smilškastes vai atkļūdošanas utilītas
  • Izpildes noteikšana analīzes vidē

    • Tikai pēc tam, kad šīs pārbaudes ir nokārtotas, ļaunprogrammatūra sāk sistēmas datu izvilkšanu un saziņu ar savu ārējo serveri UDP portā 1269, adreses adresē 157.20.182[.]75. Caur šo kanālu tā var palaist čaulas komandas, izmantojot cmd.exe, pārsūtīt failus, atjaunināt konfigurācijas informāciju un izvietot papildu vērtumus.

    Operacionālās spējas un datu zādzības

    Pēc validācijas ļaunprogrammatūra apkopo sistēmas metadatus un nosūta tos attālajam C2 serverim. Tās UDP balstītā komunikācija ļauj uzbrucējiem reāllaikā mijiedarboties ar inficēto resursdatoru, norādot tam izpildīt komandas, uzlabot aizmugurējās durvis vai pēc nepieciešamības izlaist papildu ļaunprātīgus moduļus. Šī struktūra atbalsta gan izlūkošanas, gan ilgtermiņa spiegošanas operācijas.

    Mazināšana un informētība

    Tā kā inficēšanās ķēde ir atkarīga no makro iespējotiem pikšķerēšanas dokumentiem, lietotāju informētība joprojām ir kritiski svarīgs aizsardzības pasākums. Aizdomīgi vai nevēlami pielikumi, īpaši tie, kas mudina aktivizēt makro, jāizturas ļoti piesardzīgi. Organizācijām jāievieš makro ierobežojumi, jāievieš uzvedības uzraudzības risinājumi un jāapmāca lietotāji atpazīt mērķtiecīgas pikšķerēšanas taktikas.

    Ieteicamie aizsardzības pasākumi

    • Ierobežojiet vai atspējojiet makro visā organizācijā.
    • Izvietojiet galapunktu aizsardzību, kas spēj noteikt uz makro balstītus nomešanas algoritmus.
    • Uzraudzīt neparastu izejošo UDP datplūsmu.
    • Atzīmēt saziņas mēģinājumus ar nezināmām vai aizdomīgām pieslēgvietām.
    • Izglītot darbiniekus par mērķtiecīgām pikšķerēšanas pazīmēm.

    Apvienojot maldinošas ēsmas, slepenu makrouzdevumu izpildi un uzlabotas izvairīšanās metodes, MuddyWater kampaņa UDPGangster demonstrē atjaunotu uzsvaru uz slepenu piekļuvi un reģionālo izlūkdatu vākšanu. Lai novērstu šādu draudu iesakņošanos, ir svarīgi saglabāt modrību pret uzbrukumiem, kas balstīti uz dokumentiem.

    Tendences

    Visvairāk skatīts

    Ļaunprātīga programmatūra

    Pikšķerēšana, Mēstules
    30,646
    Krāpniecības ziņojums “Apple Pay Suspended” ir pikšķerēšanas taktikas veids, kas ir vērsts uz Apple Pay lietotājiem. Ziņojumā tiek apgalvots, ka lietotāja Apple Pay maka darbība ir apturēta, un tiek mudināts noklikšķināt uz saites, lai to atjaunotu. Tomēr, noklikšķinot uz saites, lietotājs tiks novirzīts uz viltotu vietni, kas paredzēta viņa personiskās un finanšu informācijas zagšanai. Ja...
    Notiek ielāde...