Kortingsaanbieding voor meerdere licenties
Bedreigingsdatabase Malware UDPGangster Backdoor

UDPGangster Backdoor

Tegen Mezo in Malware, Geavanceerde aanhoudende dreiging (APT), Achterdeurtjes
Vertalen naar:

Een dreigingscampagne die wordt toegeschreven aan de aan Iran gelieerde groep MuddyWater heeft de implementatie onthuld van een nieuw geïdentificeerde backdoor genaamd UDPGangster. In tegenstelling tot conventionele malware die afhankelijk is van TCP-gebaseerde communicatie, gebruikt deze tool het User Datagram Protocol als Command-and-Control-kanaal, waardoor het verkeer ervan moeilijker te detecteren is voor traditionele beveiligingsoplossingen. Eenmaal actief, maakt de backdoor volledige manipulatie op afstand van gecompromitteerde systemen mogelijk, waardoor commando's kunnen worden uitgevoerd, bestanden kunnen worden gestolen en secundaire malware kan worden verspreid.

Regionale targeting en spionagemotieven

Onderzoekers melden dat de slachtoffers voornamelijk in Turkije, Israël en Azerbeidzjan zijn geïdentificeerd. De aard van de operatie, gecombineerd met de geografische focus, wijst op een gerichte spionage-inspanning gericht op het verzamelen van inlichtingen en het verkrijgen van afgelegen voet aan de grond in gevoelige gebieden.

Phishing-lokmiddelen en schadelijke documenten

De aanvallers maken intensief gebruik van spearphishing om netwerken te infiltreren. E-mails die zich voordeden als het Ministerie van Buitenlandse Zaken van de Turkse Republiek Noord-Cyprus werden naar nietsvermoedende ontvangers gestuurd, met een valse uitnodiging voor een online seminar met de titel 'Presidentsverkiezingen en uitslagen'.

Bij deze e-mails waren twee identieke versies van het schadelijke document bijgevoegd: een ZIP-bestand met de naam seminer.zip en een Word-bestand met de naam seminer.doc. Bij het openen van het document wordt de gebruiker gevraagd macro's in te schakelen, waardoor de ingebouwde payload onopvallend kan worden uitgevoerd. Om de schadelijke activiteit te maskeren, toont de macro een Hebreeuwse lokafbeelding van de Israëlische telecomprovider Bezeq, die naar verluidt geplande serviceonderbrekingen begin november 2025 beschrijft.

Macro-uitvoering en payloadlevering

Zodra macro's zijn geactiveerd, maakt de dropper gebruik van de Document_Open()-gebeurtenis om automatisch Base64-gegevens te decoderen die in een verborgen formulierveld zijn opgeslagen. De resulterende inhoud wordt weggeschreven naar:

C:\Gebruikers\Openbaar\ui.txt

Dit bestand wordt vervolgens gestart via de Windows API CreateProcessA, waarmee de UDPGangster-backdoor wordt gestart.

Stealth by Design: volharding en anti-analysetactieken

UDPGangster beveiligt zijn aanwezigheid op de host via persistentie in het Windows-register. Het bevat ook een breed scala aan anti-analysetechnieken die gericht zijn op het dwarsbomen van virtuele omgevingen, sandboxes en forensisch onderzoek. Deze omvatten:

  • Omgevings- en virtualisatiecontroles
  • Testen op actief debuggen
  • Inspectie van CPU-kenmerken op tekenen van virtuele machines
  • Systemen identificeren met minder dan 2 GB RAM
  • Validatie van MAC-adresvoorvoegsels om VM-leveranciers te detecteren
  • Controleren of het apparaat tot de standaard Windows-werkgroep behoort
  • Scannen op processen zoals VBoxService.exe, VBoxTray.exe, vmware.exe en vmtoolsd.exe
  • Controleren van registervermeldingen voor virtualisatie-identificatiegegevens, waaronder VBox, VMBox, QEMU, VIRTUAL, VIRTUALBOX, VMWARE en Xen
  • Zoeken naar bekende sandbox- of debughulpprogramma's
  • Bepalen of de uitvoering plaatsvindt binnen een analyseomgeving

    • Pas wanneer deze controles zijn geslaagd, begint de malware met het exfiltreren van systeemgegevens en met de communicatie met zijn externe server op UDP-poort 1269 op 157.20.182[.]75. Via dit kanaal kan het shell-opdrachten uitvoeren via cmd.exe, bestanden overdragen, configuratiegegevens bijwerken en vervolgpayloads implementeren.

    Operationele mogelijkheden en gegevensdiefstal

    Na validatie verzamelt de malware systeemmetadata en stuurt deze naar de externe C2-server. Dankzij de UDP-gebaseerde communicatie kunnen aanvallers in realtime met de geïnfecteerde host communiceren en deze opdracht geven opdrachten uit te voeren, de backdoor te upgraden of indien nodig extra kwaadaardige modules te installeren. Deze structuur ondersteunt zowel verkennings- als langetermijnspionageoperaties.

    Mitigatie en bewustwording

    Omdat de infectieketen draait om macro-geactiveerde phishingdocumenten, blijft bewustwording bij gebruikers een cruciale verdedigingsmaatregel. Verdachte of ongevraagde bijlagen, met name bijlagen die aandringen op macro-activering, moeten met de grootste voorzichtigheid worden behandeld. Organisaties moeten macrobeperkingen afdwingen, oplossingen voor gedragsmonitoring implementeren en gebruikers trainen in het herkennen van gerichte phishingtactieken.

    Aanbevolen verdedigingsmaatregelen

    • Beperk of schakel macro's in de hele organisatie uit.
    • Implementeer eindpuntbeveiliging die macrogebaseerde droppers kan detecteren.
    • Controleer op ongebruikelijk uitgaand UDP-verkeer.
    • Communicatiepogingen met onbekende of verdachte havens markeren.
    • Informeer uw personeel over gerichte phishing-indicatoren.

    Door misleidende lokmiddelen, sluipende macro-uitvoering en geavanceerde ontwijkingsmethoden te combineren, legt MuddyWaters UDPGangster-campagne opnieuw de nadruk op geheime toegang en regionale inlichtingenvergaring. Waakzaamheid tegen documentgebaseerde aanvallen is essentieel om te voorkomen dat dergelijke dreigingen voet aan de grond krijgen.

    Trending

    Meest bekeken

    Bezig met laden...