Sebut Harga Diskaun Berbilang Lesen
Pangkalan Data Ancaman perisian hasad Pintu Belakang UDPGangster

Pintu Belakang UDPGangster

Menjelang Mezo pada perisian hasad, Ancaman Berterusan Lanjutan (APT), Pintu belakang
Terjemahkan ke

Kempen ancaman yang dikaitkan dengan kumpulan berkaitan Iran MuddyWater telah mendedahkan penempatan pintu belakang yang baru dikenal pasti digelar UDPGangster. Tidak seperti perisian hasad konvensional yang bergantung pada komunikasi berasaskan TCP, alat ini menggunakan Protokol Datagram Pengguna sebagai saluran Perintah dan Kawalannya, menjadikan trafiknya lebih sukar untuk dikesan oleh penyelesaian keselamatan tradisional. Setelah aktif, pintu belakang menyediakan manipulasi jauh sepenuhnya bagi sistem yang terjejas, membolehkan pelaksanaan perintah, kecurian fail dan penghantaran perisian hasad sekunder.

Penyasaran Serantau dan Motif Pengintipan

Penyelidik melaporkan bahawa mangsa telah dikenal pasti terutamanya di Turki, Israel, dan Azerbaijan. Sifat operasi, digabungkan dengan tumpuan geografinya, menandakan usaha pengintipan yang disasarkan yang bertujuan untuk mengumpul risikan dan memperoleh kedudukan terpencil dalam persekitaran yang sensitif.

Gewang Pancingan Data dan Dokumen Berniat Hasad

Penyerang sangat bergantung pada spear-phishing untuk menyusup ke rangkaian. E-mel yang menyamar sebagai Kementerian Luar Negeri Republik Turki Cyprus Utara telah dihantar kepada penerima yang tidak curiga, secara palsu menjemput mereka ke seminar dalam talian bertajuk 'Presidential Elections and Results.'

Dilampirkan pada e-mel ini ialah dua versi dokumen hasad yang sama: arkib ZIP bernama seminer.zip dan fail Word bertajuk seminer.doc. Apabila dibuka, dokumen menggesa pengguna untuk mendayakan makro, membenarkan muatan terbenamnya berjalan dengan senyap. Untuk menutupi aktiviti berniat jahat itu, makro memaparkan imej tipuan bahasa Ibrani daripada penyedia telekomunikasi Israel Bezeq, yang kononnya menggambarkan gangguan perkhidmatan yang dirancang pada awal November 2025.

Pelaksanaan Makro dan Penghantaran Muatan

Setelah makro diaktifkan, penitis memanfaatkan acara Document_Open() untuk menyahkod data Base64 secara automatik yang disimpan dalam medan borang yang tersembunyi. Kandungan yang terhasil ditulis kepada:

C:\Users\Public\ui.txt

Fail ini kemudiannya dilancarkan melalui Windows API CreateProcessA, memulakan pintu belakang UDPGangster.

Stealth by Design: Kegigihan dan Taktik Anti-Analisis

UDPGangster menjamin kehadirannya pada hos melalui kegigihan Windows Registry. Ia juga menggabungkan pelbagai teknik anti-analisis yang bertujuan untuk menggagalkan persekitaran maya, kotak pasir dan penelitian forensik. Ini termasuk:

  • Pemeriksaan Persekitaran dan Maya
  • Menguji untuk penyahpepijatan aktif
  • Memeriksa ciri CPU untuk tanda-tanda mesin maya
  • Mengenal pasti sistem dengan kurang daripada 2 GB RAM
  • Mengesahkan awalan alamat MAC untuk mengesan vendor VM
  • Menyemak sama ada peranti itu tergolong dalam kumpulan kerja Windows lalai
  • Mengimbas proses seperti VBoxService.exe, VBoxTray.exe, vmware.exe dan vmtoolsd.exe
  • Menyemak entri Pendaftaran untuk pengecam virtualisasi, termasuk VBox, VMBox, QEMU, VIRTUAL, VIRTUALBOX, VMWARE dan Xen
  • Mencari utiliti kotak pasir atau nyahpepijat yang diketahui
  • Menentukan sama ada pelaksanaan berlaku dalam persekitaran analisis

Hanya apabila semakan ini dibersihkan barulah perisian hasad mula mengosongkan data sistem dan berkomunikasi dengan pelayan luarannya di port UDP 1269 pada 157.20.182[.]75. Melalui saluran ini, ia boleh menjalankan perintah shell melalui cmd.exe, memindahkan fail, mengemas kini butiran konfigurasi dan menggunakan muatan susulan.

Keupayaan Operasi dan Kecurian Data

Selepas pengesahan, perisian hasad mengumpul metadata sistem dan menghantarnya ke pelayan C2 jauh. Komunikasi berasaskan UDP membolehkan penyerang berinteraksi dengan hos yang dijangkiti dalam masa nyata, mengarahkannya untuk melaksanakan arahan, menaik taraf pintu belakang atau menggugurkan modul hasad tambahan seperti yang diperlukan. Struktur ini menyokong operasi pengintipan dan pengintipan jangka panjang.

Mitigasi dan Kesedaran

Oleh kerana rantaian jangkitan bergantung pada dokumen pancingan data yang didayakan makro, kesedaran pengguna kekal sebagai langkah pertahanan yang kritikal. Lampiran yang mencurigakan atau tidak diminta, terutamanya yang menggesa pengaktifan makro, harus ditangani dengan sangat berhati-hati. Organisasi harus menguatkuasakan sekatan makro, menggunakan penyelesaian pemantauan tingkah laku dan melatih pengguna untuk mengenali taktik pancingan data yang disasarkan.

Langkah-langkah Pertahanan yang Disyorkan

  • Hadkan atau lumpuhkan makro merentas organisasi.
  • Gunakan perlindungan titik akhir yang mampu mengesan penitis berasaskan makro.
  • Pantau trafik UDP keluar luar biasa.
  • Percubaan komunikasi bendera ke pelabuhan yang tidak diketahui atau mencurigakan.
  • Mendidik kakitangan tentang penunjuk pancingan data yang disasarkan.

Dengan menggabungkan gewang yang memperdaya, pelaksanaan makro yang tersembunyi dan kaedah pengelakan lanjutan, kempen UDPGangster MuddyWater menunjukkan penekanan yang diperbaharui pada akses rahsia dan pengumpulan perisikan serantau. Sentiasa berwaspada terhadap serangan berasaskan dokumen adalah penting untuk menghalang ancaman tersebut daripada bertapak.

Trending

Paling banyak dilihat

Memuatkan...