Cotație de reducere pentru licențe multiple
Baza de date pentru amenințări Programe malware UDPGangster Backdoor

UDPGangster Backdoor

Până în Mezo în Programe malware, Amenințare persistentă avansată (APT), Ușile din spate
Tradu in:

O campanie de amenințări atribuită grupării MuddyWater, cu legături cu Iranul, a dezvăluit implementarea unui backdoor nou identificat, numit UDPGangster. Spre deosebire de malware-ul convențional care se bazează pe comunicarea bazată pe TCP, acest instrument utilizează protocolul User Datagram Protocol ca și canal de comandă și control, ceea ce face ca traficul său să fie mai dificil de detectat pentru soluțiile tradiționale de securitate. Odată activ, backdoor-ul oferă manipularea completă de la distanță a sistemelor compromise, permițând executarea comenzilor, furtul de fișiere și livrarea de malware secundar.

Țintirea regională și motivele spionajului

Cercetătorii raportează că victimele au fost identificate în principal în Turcia, Israel și Azerbaidjan. Natura operațiunii, combinată cu concentrarea sa geografică, semnalează un efort de spionaj țintit, menit să adune informații și să obțină puncte de sprijin în medii sensibile.

Momeli de phishing și documente rău intenționate

Atacatorii se bazează în mare măsură pe spear-phishing pentru a se infiltra în rețele. E-mailuri care se făceau passare de Ministerul Afacerilor Externe al Republicii Turce a Ciprului de Nord au fost trimise unor destinatari neavizați, invitându-i în mod fals la un seminar online intitulat „Alegeri prezidențiale și rezultate”.

Atașate acestor e-mailuri erau două versiuni identice ale documentului rău intenționat: o arhivă ZIP numită seminer.zip și un fișier Word intitulat seminer.doc. La deschidere, documentul solicită utilizatorului să activeze macrocomenzile, permițând rularea silențioasă a sarcinii utile încorporate. Pentru a masca activitatea rău intenționată, macrocomanda afișează o imagine capcană în limba ebraică de la furnizorul de telecomunicații israelian Bezeq, care descrie, se presupune, întreruperile planificate ale serviciilor la începutul lunii noiembrie 2025.

Executarea macrocomenzilor și livrarea sarcinii utile

Odată ce macrocomenzile sunt activate, dropper-ul utilizează evenimentul Document_Open() pentru a decoda automat datele Base64 stocate într-un câmp de formular ascuns. Conținutul rezultat este scris în:

C:\Utilizatori\Public\ui.txt

Acest fișier este apoi lansat prin intermediul API-ului Windows CreateProcessA, inițiind backdoor-ul UDPGangster.

Ascundere prin design: Perseverență și tactici anti-analiză

UDPGangster își asigură prezența pe gazdă prin persistența Registrului Windows. De asemenea, încorporează o gamă largă de tehnici anti-analiză menite să împiedice mediile virtuale, sandbox-urile și examinarea criminalistică. Acestea includ:

  • Verificări ale mediului și virtualizării
  • Testarea depanării active
  • Inspectarea caracteristicilor procesorului pentru semne de mașini virtuale
  • Identificarea sistemelor cu mai puțin de 2 GB de RAM
  • Validarea prefixelor adreselor MAC pentru detectarea furnizorilor de mașini virtuale
  • Verificarea dacă dispozitivul aparține grupului de lucru Windows implicit
  • Scanarea proceselor precum VBoxService.exe, VBoxTray.exe, vmware.exe și vmtoolsd.exe
  • Revizuirea intrărilor din registry pentru identificatorii de virtualizare, inclusiv VBox, VMBox, QEMU, VIRTUAL, VIRTUALBOX, VMWARE și Xen
  • Căutarea utilitarelor de sandboxing sau de depanare cunoscute
  • Determinarea dacă execuția are loc într-un mediu de analiză

    • Numai după ce aceste verificări sunt finalizate, malware-ul începe să exfiltreze datele de sistem și să comunice cu serverul său extern la portul UDP 1269 pe 157.20.182[.]75. Prin acest canal, poate rula comenzi shell prin cmd.exe, poate transfera fișiere, poate actualiza detaliile de configurare și poate implementa sarcini utile ulterioare.

    Capacități operaționale și furt de date

    După validare, malware-ul colectează metadatele sistemului și le trimite către serverul C2 la distanță. Comunicarea sa bazată pe UDP permite atacatorilor să interacționeze cu gazda infectată în timp real, instruindu-i să execute comenzi, să actualizeze backdoor-ul sau să elimine module malițioase suplimentare, după cum este necesar. Această structură acceptă atât operațiuni de recunoaștere, cât și operațiuni de spionaj pe termen lung.

    Atenuare și conștientizare

    Deoarece lanțul de infectare se bazează pe documente de phishing cu macrocomenzi activate, conștientizarea utilizatorilor rămâne o măsură critică de apărare. Atașamentele suspecte sau nesolicitate, în special cele care solicită activarea macrocomenzilor, trebuie tratate cu extremă precauție. Organizațiile ar trebui să aplice restricții macrocomenzi, să implementeze soluții de monitorizare comportamentală și să instruiască utilizatorii să recunoască tacticile de phishing direcționate.

    Măsuri de apărare recomandate

    • Restricționați sau dezactivați macrocomenzile în întreaga organizație.
    • Implementați protecție endpoint capabilă să detecteze dropper-ii bazați pe macro-uri.
    • Monitorizați traficul UDP neobișnuit de ieșire.
    • Semnalează încercările de comunicare către porturi necunoscute sau suspecte.
    • Educați personalul cu privire la indicatorii de phishing direcționați.

    Prin combinarea momelilor înșelătoare, a execuției macro ascunse și a metodelor avansate de evitare a atacurilor, campania UDPGangster a MuddyWater demonstrează un accent reînnoit pus pe accesul sub acoperire și colectarea de informații regionale. Vigilența împotriva atacurilor bazate pe documente este esențială pentru a preveni stabilirea unor astfel de amenințări.

    Trending

    Cele mai văzute

    Se încarcă...