Oferta rabatowa na wiele licencji
Baza danych zagrożeń Złośliwe oprogramowanie UDPGangster Backdoor

UDPGangster Backdoor

Do Mezo w Złośliwe oprogramowanie, Zaawansowane trwałe zagrożenie (APT), Tylne drzwi
Przetłumacz na:

Kampania zagrożeń przypisywana irańskiej grupie MuddyWater ujawniła wdrożenie nowo zidentyfikowanego backdoora o nazwie UDPGangster. W przeciwieństwie do konwencjonalnego złośliwego oprogramowania, które opiera się na komunikacji opartej na protokole TCP, to narzędzie wykorzystuje protokół User Datagram Protocol jako kanał Command-and-Control, co utrudnia wykrycie jego ruchu przez tradycyjne rozwiązania bezpieczeństwa. Po aktywacji backdoor umożliwia pełną zdalną manipulację zainfekowanymi systemami, umożliwiając wykonywanie poleceń, kradzież plików i dostarczanie wtórnego złośliwego oprogramowania.

Regionalne cele i motywy szpiegostwa

Badacze donoszą, że ofiary zidentyfikowano głównie w Turcji, Izraelu i Azerbejdżanie. Charakter operacji, w połączeniu z jej zasięgiem geograficznym, wskazuje na ukierunkowany atak szpiegowski, mający na celu zbieranie informacji wywiadowczych i zdobywanie odległych punktów oparcia w newralgicznych miejscach.

Przynęty phishingowe i złośliwe dokumenty

Atakujący w dużej mierze wykorzystują spear phishing do infiltracji sieci. E-maile podszywające się pod Ministerstwo Spraw Zagranicznych Tureckiej Republiki Cypru Północnego były wysyłane do niczego niepodejrzewających odbiorców, fałszywie zapraszając ich na seminarium internetowe zatytułowane „Wybory prezydenckie i wyniki”.

Do tych e-maili dołączone były dwie identyczne wersje złośliwego dokumentu: archiwum ZIP o nazwie seminer.zip oraz plik Word o nazwie seminer.doc. Po otwarciu dokument wyświetla użytkownikowi monit o włączenie makr, co pozwala na dyskretne uruchomienie wbudowanego ładunku. Aby zamaskować szkodliwą aktywność, makro wyświetla obraz-pułapkę w języku hebrajskim od izraelskiego operatora telekomunikacyjnego Bezeq, rzekomo przedstawiający planowane przerwy w świadczeniu usług na początku listopada 2025 roku.

Wykonywanie makr i dostarczanie danych

Po aktywacji makr dropper wykorzystuje zdarzenie Document_Open(), aby automatycznie dekodować dane Base64 przechowywane w ukrytym polu formularza. Wynikowa treść jest zapisywana w:

C:\Użytkownicy\Publiczny\ui.txt

Plik ten jest następnie uruchamiany za pomocą interfejsu API systemu Windows CreateProcessA, co inicjuje działanie tylnego wejścia UDPGangster.

Ukrycie z założenia: taktyki wytrwałości i przeciwdziałania analizie

UDPGangster zabezpiecza swoją obecność na hoście poprzez trwałość rejestru systemu Windows. Wykorzystuje również szeroką gamę technik anty-analizy, mających na celu blokowanie środowisk wirtualnych, piaskownic i analiz kryminalistycznych. Należą do nich:

  • Kontrole środowiska i wirtualizacji
  • Testowanie pod kątem aktywnego debugowania
  • Sprawdzanie charakterystyk procesora w celu wykrycia oznak maszyn wirtualnych
  • Identyfikacja systemów z pamięcią RAM mniejszą niż 2 GB
  • Sprawdzanie prefiksów adresów MAC w celu wykrycia dostawców maszyn wirtualnych
  • Sprawdzanie, czy urządzenie należy do domyślnej grupy roboczej Windows
  • Skanowanie procesów takich jak VBoxService.exe, VBoxTray.exe, vmware.exe i vmtoolsd.exe
  • Przeglądanie wpisów rejestru w celu znalezienia identyfikatorów wirtualizacji, w tym VBox, VMBox, QEMU, VIRTUAL, VIRTUALBOX, VMWARE i Xen
  • Wyszukiwanie znanych narzędzi do piaskownicy lub debugowania
  • Określanie, czy wykonywanie ma miejsce w środowisku analizy

    • Dopiero po pomyślnym przejściu tych kontroli złośliwe oprogramowanie rozpoczyna eksfiltrację danych systemowych i komunikację z serwerem zewnętrznym na porcie UDP 1269 pod adresem 157.20.182[.]75. Za pośrednictwem tego kanału może uruchamiać polecenia powłoki za pomocą cmd.exe, przesyłać pliki, aktualizować szczegóły konfiguracji i wdrażać kolejne ładunki.

    Możliwości operacyjne i kradzież danych

    Po weryfikacji złośliwe oprogramowanie zbiera metadane systemowe i wysyła je do zdalnego serwera C2. Komunikacja oparta na protokole UDP pozwala atakującym na interakcję z zainfekowanym hostem w czasie rzeczywistym, instruując go, jak wykonywać polecenia, aktualizować backdoora lub instalować dodatkowe złośliwe moduły, w razie potrzeby. Taka struktura wspiera zarówno rozpoznanie, jak i długoterminowe operacje szpiegowskie.

    Łagodzenie i świadomość

    Ponieważ łańcuch infekcji opiera się na dokumentach phishingowych z włączoną funkcją makr, świadomość użytkowników pozostaje kluczowym środkiem obrony. Podejrzane lub niechciane załączniki, zwłaszcza te nakłaniające do aktywacji makr, należy traktować z najwyższą ostrożnością. Organizacje powinny egzekwować ograniczenia dotyczące makr, wdrażać rozwiązania do monitorowania zachowań i szkolić użytkowników w zakresie rozpoznawania ukierunkowanych ataków phishingowych.

    Zalecane środki obrony

    • Ogranicz lub wyłącz makra w całej organizacji.
    • Wdróż ochronę punktów końcowych zdolną do wykrywania dropperów opartych na makrach.
    • Monitoruj nietypowy ruch wychodzący UDP.
    • Oznacz próby komunikacji z nieznanymi lub podejrzanymi portami.
    • Przeszkol personel w zakresie oznak phishingu.

    Łącząc zwodnicze przynęty, dyskretne wykonywanie makr i zaawansowane metody unikania, kampania UDPGangster firmy MuddyWater kładzie nowy nacisk na tajny dostęp i regionalne gromadzenie informacji wywiadowczych. Zachowanie czujności wobec ataków opartych na dokumentach jest kluczowe dla zapobiegania ugruntowaniu się takich zagrożeń.

    Popularne

    Najczęściej oglądane

    Ładowanie...