UDPGangster Backdoor
В ходе кампании по борьбе с киберугрозами, приписываемой связанной с Ираном группировке MuddyWater, было выявлено внедрение нового бэкдора, получившего название UDPGangster. В отличие от обычных вредоносных программ, использующих протокол TCP, этот инструмент использует протокол пользовательских датаграмм (User Datagram Protocol) в качестве канала управления и контроля, что затрудняет обнаружение его трафика традиционными средствами безопасности. После активации бэкдор обеспечивает полное удалённое управление скомпрометированными системами, позволяя выполнять команды, кражу файлов и установку вторичного вредоносного ПО.
Оглавление
Региональные мотивы нацеливания и шпионажа
Исследователи сообщают, что жертвы были выявлены преимущественно в Турции, Израиле и Азербайджане. Характер операции в сочетании с её географической направленностью указывает на целенаправленную шпионскую деятельность, направленную на сбор разведывательной информации и захват удалённых опорных пунктов в уязвимых районах.
Фишинговые приманки и вредоносные документы
Злоумышленники активно используют фишинг для проникновения в сети. Электронные письма от имени Министерства иностранных дел Турецкой Республики Северного Кипра рассылались ничего не подозревающим получателям с ложным приглашением на онлайн-семинар под названием «Президентские выборы и их результаты».
К этим письмам прилагались две идентичные версии вредоносного документа: ZIP-архив с именем seminer.zip и файл Word с именем seminer.doc. При открытии документа пользователю предлагается включить макросы, что позволяет встроенной полезной нагрузке работать в фоновом режиме. Для маскировки вредоносной активности макрос отображает обманное изображение на иврите от израильского телекоммуникационного провайдера Bezeq, якобы описывающее запланированные перерывы в обслуживании в начале ноября 2025 года.
Выполнение макроса и доставка полезной нагрузки
После активации макроса дроппер использует событие Document_Open() для автоматического декодирования данных Base64, хранящихся в скрытом поле формы. Результирующее содержимое записывается в:
C:\Users\Public\ui.txt
Затем этот файл запускается через Windows API CreateProcessA, инициируя бэкдор UDPGangster.
Скрытность по замыслу: тактика настойчивости и противодействия анализу
UDPGangster обеспечивает своё присутствие на хосте, сохраняя данные в реестре Windows. Он также использует широкий спектр методов противодействия анализу, направленных на блокировку виртуальных сред, песочниц и криминалистического контроля. К ним относятся:
- Проверки среды и виртуализации
- Тестирование для активной отладки
Только после прохождения этих проверок вредоносная программа начинает извлекать системные данные и устанавливать связь со своим внешним сервером через UDP-порт 1269 на 157.20.182[.]75. Через этот канал она может выполнять команды оболочки через cmd.exe, передавать файлы, обновлять данные конфигурации и развертывать последующие полезные нагрузки.
Операционные возможности и кража данных
После проверки вредоносная программа собирает системные метаданные и отправляет их на удалённый командный сервер. Использование протокола UDP позволяет злоумышленникам взаимодействовать с заражённым хостом в режиме реального времени, давая ему команды на выполнение команд, обновление бэкдора или установку дополнительных вредоносных модулей по мере необходимости. Такая структура позволяет проводить как разведывательные, так и долгосрочные шпионские операции.
Смягчение последствий и повышение осведомленности
Поскольку цепочка заражения основана на фишинговых документах с макросами, осведомлённость пользователей остаётся критически важной мерой защиты. К подозрительным или нежелательным вложениям, особенно к тем, которые призывают к активации макросов, следует относиться с особой осторожностью. Организациям следует применять ограничения на использование макросов, внедрять решения для поведенческого мониторинга и обучать пользователей распознавать целевые фишинговые тактики.
Рекомендуемые меры защиты
- Ограничьте или отключите макросы во всей организации.
- Разверните защиту конечных точек, способную обнаруживать дропперы на основе макросов.
- Отслеживайте необычный исходящий UDP-трафик.
- Отмечать попытки установления связи через неизвестные или подозрительные порты.
- Просвещайте персонал в вопросах выявления целевых индикаторов фишинга.
Сочетая обманные приманки, скрытное выполнение макросов и продвинутые методы уклонения, кампания MuddyWater UDPGangster демонстрирует новый акцент на скрытом доступе и сборе разведывательной информации в регионе. Для предотвращения подобных угроз крайне важно сохранять бдительность в отношении атак с использованием документов.
