Rabatttilbud for flere lisenser
Trusseldatabase Skadelig programvare UDPGangster Bakdør

UDPGangster Bakdør

Med Mezo i Skadelig programvare, Advanced Persistent Threat (APT), Bakdører
Oversett til:

En trusselkampanje tilskrevet den iransk-tilknyttede gruppen MuddyWater har avslørt utplasseringen av en nylig identifisert bakdør kalt UDPGangster. I motsetning til konvensjonell skadelig programvare som er avhengig av TCP-basert kommunikasjon, bruker dette verktøyet User Datagram Protocol som sin kommando-og-kontrollkanal, noe som gjør trafikken vanskeligere for tradisjonelle sikkerhetsløsninger å oppdage. Når bakdøren er aktiv, gir den full fjernmanipulering av kompromitterte systemer, noe som muliggjør kommandoutførelse, filtyveri og levering av sekundær skadelig programvare.

Regional målretting og spionasjemotiver

Forskere rapporterer at ofrene hovedsakelig er identifisert i Tyrkia, Israel og Aserbajdsjan. Operasjonens art, kombinert med dens geografiske fokus, signaliserer en målrettet spionasjeinnsats som tar sikte på å samle etterretning og få fotfeste i sensitive miljøer.

Phishing-lokkemidler og ondsinnede dokumenter

Angriperne bruker i stor grad spear-phishing for å infiltrere nettverk. E-poster som utga seg for å være utenriksdepartementet i Den tyrkiske republikken Nord-Kypros ble sendt til intetanende mottakere, og inviterte dem feilaktig til et nettseminar med tittelen «Presidentvalg og resultater».

Vedlagt disse e-postene var to identiske versjoner av det skadelige dokumentet: et ZIP-arkiv kalt seminer.zip og en Word-fil med tittelen seminer.doc. Når dokumentet åpnes, ber det brukeren om å aktivere makroer, slik at den innebygde nyttelasten kjører stille. For å maskere den skadelige aktiviteten viser makroen et hebraiskspråklig lokkebilde fra den israelske telekommunikasjonsleverandøren Bezeq, som angivelig beskriver planlagte tjenesteavbrudd tidlig i november 2025.

Makroutførelse og levering av nyttelast

Når makroer er aktivert, bruker dropperen Document_Open()-hendelsen til automatisk å dekode Base64-data lagret i et skjult skjemafelt. Det resulterende innholdet skrives til:

C:\Brukere\Offentlig\ui.txt

Denne filen startes deretter via Windows API CreateProcessA, som starter UDPGangster-bakdøren.

Stealth by Design: Utholdenhet og anti-analysetaktikker

UDPGangster sikrer sin tilstedeværelse på verten gjennom Windows-registerets persistens. Den inneholder også et bredt spekter av antianalyseteknikker som tar sikte på å hindre virtuelle miljøer, sandkasser og rettsmedisinsk gransking. Disse inkluderer:

  • Miljø- og virtualiseringskontroller
  • Testing for aktiv feilsøking
  • Inspeksjon av CPU-egenskaper for tegn på virtuelle maskiner
  • Identifisering av systemer med mindre enn 2 GB RAM
  • Validerer MAC-adresseprefikser for å oppdage VM-leverandører
  • Kontrollerer om enheten tilhører standard Windows-arbeidsgruppe
  • Skanner etter prosesser som VBoxService.exe, VBoxTray.exe, vmware.exe og vmtoolsd.exe
  • Gjennomgang av registeroppføringer for virtualiseringsidentifikatorer, inkludert VBox, VMBox, QEMU, VIRTUAL, VIRTUALBOX, VMWARE og Xen
  • Søker etter kjente sandkasse- eller feilsøkingsverktøy
  • Avgjøre om utførelse skjer i et analysemiljø

Først når disse kontrollene er fjernet, begynner skadevaren å eksfiltrere systemdata og kommunisere med sin eksterne server på UDP-port 1269 på 157.20.182[.]75. Gjennom denne kanalen kan den kjøre skallkommandoer via cmd.exe, overføre filer, oppdatere konfigurasjonsdetaljer og distribuere oppfølgingsnyttelaster.

Operasjonelle evner og datatyveri

Etter validering samler skadevaren inn systemmetadata og sender dem til den eksterne C2-serveren. Den UDP-baserte kommunikasjonen lar angripere samhandle med den infiserte verten i sanntid, og instruere den til å utføre kommandoer, oppgradere bakdøren eller fjerne ytterligere skadelige moduler etter behov. Denne strukturen støtter både rekognosering og langsiktige spionasjeoperasjoner.

Tiltaksbegrensning og bevissthet

Fordi infeksjonskjeden er avhengig av makroaktiverte phishing-dokumenter, er brukerbevissthet fortsatt et kritisk forsvarstiltak. Mistenkelige eller uønskede vedlegg, spesielt de som oppfordrer til makroaktivering, bør behandles med ekstrem forsiktighet. Organisasjoner bør håndheve makrorestriksjoner, implementere løsninger for atferdsovervåking og lære opp brukere til å gjenkjenne målrettede phishing-taktikker.

Anbefalte forsvarstiltak

  • Begrens eller deaktiver makroer i hele organisasjonen.
  • Implementer endepunktbeskyttelse som er i stand til å oppdage makrobaserte droppere.
  • Overvåk uvanlig utgående UDP-trafikk.
  • Flagg kommunikasjonsforsøk til ukjente eller mistenkelige porter.
  • Lær opp ansatte om målrettede phishing-indikatorer.

Ved å kombinere villedende lokkemidler, snikende makroutførelse og avanserte unnvikelsesmetoder, demonstrerer MuddyWaters UDPGangster-kampanje et fornyet fokus på skjult tilgang og regional etterretningsinnsamling. Å være årvåken mot dokumentbaserte angrep er avgjørende for å forhindre at slike trusler får fotfeste.

Trender

Mest sett

Laster inn...