UDPGangster ब्याकडोर

इरानी-सम्बद्ध समूह MuddyWater लाई जिम्मेवार ठहराइएको धम्की अभियानले UDPGangster नामक नयाँ पहिचान गरिएको ब्याकडोरको तैनाती प्रकट गरेको छ। TCP-आधारित सञ्चारमा निर्भर परम्परागत मालवेयरको विपरीत, यो उपकरणले प्रयोगकर्ता डेटाग्राम प्रोटोकललाई यसको कमाण्ड-एन्ड-कन्ट्रोल च्यानलको रूपमा प्रयोग गर्दछ, जसले गर्दा परम्परागत सुरक्षा समाधानहरूको लागि यसको ट्राफिक पत्ता लगाउन गाह्रो हुन्छ। एक पटक सक्रिय भएपछि, ब्याकडोरले सम्झौता गरिएका प्रणालीहरूको पूर्ण रिमोट हेरफेर प्रदान गर्दछ, आदेश कार्यान्वयन, फाइल चोरी, र माध्यमिक मालवेयरको डेलिभरी सक्षम पार्दै।

क्षेत्रीय लक्षितीकरण र जासुसी उद्देश्यहरू

अनुसन्धानकर्ताहरूले रिपोर्ट गरेका छन् कि पीडितहरू मुख्यतया टर्की, इजरायल र अजरबैजानमा पहिचान गरिएका छन्। अपरेशनको प्रकृति, यसको भौगोलिक केन्द्रबिन्दुसँग मिलेर, संवेदनशील वातावरण भित्र गुप्तचर जानकारी सङ्कलन र टाढाको स्थान प्राप्त गर्ने उद्देश्यले लक्षित जासुसी प्रयासलाई संकेत गर्दछ।

फिसिङ लुर्स र दुर्भावनापूर्ण कागजातहरू

आक्रमणकारीहरू नेटवर्कहरूमा घुसपैठ गर्न भाला-फिसिङमा धेरै भर पर्छन्। टर्की गणराज्य उत्तरी साइप्रसको विदेश मन्त्रालयको नक्कल गर्ने इमेलहरू शंकास्पद प्राप्तकर्ताहरूलाई पठाइयो, उनीहरूलाई 'राष्ट्रपति चुनाव र परिणाम' शीर्षकको अनलाइन सेमिनारमा झूटो निमन्त्रणा गरियो।

यी इमेलहरूमा दुर्भावनापूर्ण कागजातका दुई समान संस्करणहरू संलग्न गरिएका थिए: seminer.zip नामक ZIP अभिलेख र seminer.doc शीर्षकको Word फाइल। खोल्दा, कागजातले प्रयोगकर्तालाई म्याक्रोहरू सक्षम गर्न प्रेरित गर्छ, जसले यसको एम्बेडेड पेलोडलाई चुपचाप चल्न अनुमति दिन्छ। दुर्भावनापूर्ण गतिविधिलाई लुकाउन, म्याक्रोले इजरायली दूरसञ्चार प्रदायक बेजेकबाट हिब्रू-भाषाको डिकोय छवि प्रदर्शन गर्दछ, जसले नोभेम्बर २०२५ को सुरुमा योजनाबद्ध सेवा अवरोधहरू वर्णन गर्दछ।

म्याक्रो कार्यान्वयन र पेलोड डेलिभरी

एक पटक म्याक्रोहरू सक्रिय भएपछि, ड्रपरले लुकाइएको फारम फिल्ड भित्र भण्डारण गरिएको Base64 डेटा स्वचालित रूपमा डिकोड गर्न Document_Open() घटनाको लाभ उठाउँछ। परिणामस्वरूप सामग्री निम्नमा लेखिएको छ:

C:\प्रयोगकर्ताहरू\सार्वजनिक\ui.txt

यो फाइल त्यसपछि Windows API CreateProcessA मार्फत सुरु गरिन्छ, जसले UDPGangster ब्याकडोर सुरु गर्छ।

डिजाइनद्वारा चोरी: दृढता र विश्लेषण विरोधी रणनीतिहरू

UDPGangster ले Windows Registry Persistency मार्फत होस्टमा आफ्नो उपस्थिति सुरक्षित गर्दछ। यसले भर्चुअल वातावरण, स्यान्डबक्स र फोरेन्सिक जाँचलाई विफल पार्ने उद्देश्यले विभिन्न प्रकारका एन्टी-विश्लेषण प्रविधिहरू पनि समावेश गर्दछ। यसमा समावेश छन्:

• वातावरण र भर्चुअलाइजेशन जाँचहरू
• सक्रिय डिबगिङको लागि परीक्षण

यी जाँचहरू खाली भएपछि मात्र मालवेयरले प्रणाली डेटा एक्सफिल्टरेट गर्न र १५७.२०.१८२[.]७५ मा UDP पोर्ट १२६९ मा यसको बाह्य सर्भरसँग सञ्चार गर्न थाल्छ। यस च्यानल मार्फत, यसले cmd.exe मार्फत शेल आदेशहरू चलाउन, फाइलहरू स्थानान्तरण गर्न, कन्फिगरेसन विवरणहरू अद्यावधिक गर्न, र फलो-अप पेलोडहरू तैनाथ गर्न सक्छ।

सञ्चालन क्षमता र डेटा चोरी

प्रमाणीकरण पछि, मालवेयरले प्रणाली मेटाडेटा सङ्कलन गर्छ र यसलाई रिमोट C2 सर्भरमा पठाउँछ। यसको UDP-आधारित सञ्चारले आक्रमणकारीहरूलाई वास्तविक समयमा संक्रमित होस्टसँग अन्तर्क्रिया गर्न अनुमति दिन्छ, यसलाई आदेशहरू कार्यान्वयन गर्न, ब्याकडोर अपग्रेड गर्न, वा आवश्यकता अनुसार थप दुर्भावनापूर्ण मोड्युलहरू छोड्न निर्देशन दिन्छ। यो संरचनाले जासूसी र दीर्घकालीन जासूसी सञ्चालन दुवैलाई समर्थन गर्दछ।

न्यूनीकरण र जागरूकता

संक्रमण शृङ्खला म्याक्रो-सक्षम फिसिङ कागजातहरूमा निर्भर भएको हुनाले, प्रयोगकर्ता जागरूकता एक महत्वपूर्ण सुरक्षा उपाय बनेको छ। शंकास्पद वा अवांछित संलग्नकहरू, विशेष गरी म्याक्रो सक्रियतालाई आग्रह गर्नेहरूलाई, अत्यधिक सावधानीपूर्वक व्यवहार गर्नुपर्छ। संस्थाहरूले म्याक्रो प्रतिबन्धहरू लागू गर्नुपर्छ, व्यवहारिक अनुगमन समाधानहरू तैनाथ गर्नुपर्छ, र लक्षित फिसिङ रणनीतिहरू पहिचान गर्न प्रयोगकर्ताहरूलाई तालिम दिनुपर्छ।

सिफारिस गरिएका रक्षा उपायहरू

• संगठनभरि म्याक्रोहरूलाई प्रतिबन्धित वा असक्षम पार्नुहोस्।
• म्याक्रो-आधारित ड्रपरहरू पत्ता लगाउन सक्षम एन्डपोइन्ट सुरक्षा तैनाथ गर्नुहोस्।
• असामान्य आउटबाउन्ड UDP ट्राफिकको निगरानी गर्नुहोस्।
• अज्ञात वा शंकास्पद पोर्टहरूमा फ्ल्याग सञ्चार प्रयासहरू।
• लक्षित फिसिङ सूचकहरूको बारेमा कर्मचारीहरूलाई शिक्षित गर्नुहोस्।

भ्रामक प्रलोभनहरू, गोप्य म्याक्रो कार्यान्वयन, र उन्नत चोरी विधिहरू संयोजन गरेर, MuddyWater को UDPGangster अभियानले गोप्य पहुँच र क्षेत्रीय गुप्तचर सङ्कलनमा नयाँ जोड देखाउँछ। यस्ता खतराहरूलाई आफ्नो पकड स्थापित गर्नबाट रोक्न कागजात-आधारित आक्रमणहरू विरुद्ध सतर्क रहनु आवश्यक छ।