Popust za več licenc
Podjetje o grožnjah Zlonamerna programska oprema UDPGangster Backdoor

UDPGangster Backdoor

Do leta Mezo leta Zlonamerna programska oprema, Napredna trajna grožnja (APT), Zadnja vrata
Prevedi v:

Grožnja kampanja, ki jo pripisujejo z Iranom povezani skupini MuddyWater, je razkrila namestitev na novo odkritega zadnjega vrata, imenovanega UDPGangster. Za razliko od običajne zlonamerne programske opreme, ki se zanaša na komunikacijo na osnovi TCP, to orodje uporablja protokol uporabniških datagramov (User Datagram Protocol) kot kanal za upravljanje in nadzor, zaradi česar tradicionalne varnostne rešitve težje zaznajo njegov promet. Ko so zadnja vrata aktivna, omogočajo popolno oddaljeno manipulacijo ogroženih sistemov, kar omogoča izvajanje ukazov, krajo datotek in dostavo sekundarne zlonamerne programske opreme.

Regionalno ciljanje in vohunski motivi

Raziskovalci poročajo, da so bile žrtve identificirane predvsem v Turčiji, Izraelu in Azerbajdžanu. Narava operacije v kombinaciji z njeno geografsko osredotočenostjo kaže na ciljno usmerjeno vohunjenje, katerega cilj je zbiranje obveščevalnih podatkov in pridobivanje oddaljenih oporišč v občutljivih okoljih.

Lažne vabe in zlonamerni dokumenti

Napadalci se za infiltracijo v omrežja močno zanašajo na lažno predstavljanje (spear phishing). Nič hudega slutečim prejemnikom so bila poslana e-poštna sporočila, v katerih so se izdajali za Ministrstvo za zunanje zadeve Turške republike Severni Ciper, v katerih so jih lažno vabili na spletni seminar z naslovom »Predsedniške volitve in rezultati«.

Tem e-poštnim sporočilom sta bili priloženi dve identični različici zlonamernega dokumenta: ZIP arhiv z imenom seminer.zip in Wordova datoteka z imenom seminer.doc. Ko dokument odprete, uporabnika pozove, naj omogoči makre, kar omogoči tiho izvajanje vdelane programske opreme. Da bi prikril zlonamerno dejavnost, makro prikaže vabljivo sliko v hebrejščini izraelskega telekomunikacijskega ponudnika Bezeq, ki naj bi opisovala načrtovane prekinitve storitev v začetku novembra 2025.

Izvajanje makrov in dostava koristnega tovora

Ko so makri aktivirani, kapalka uporabi dogodek Document_Open() za samodejno dekodiranje podatkov Base64, shranjenih v skritem polju obrazca. Nastala vsebina se zapiše v:

C:\Uporabniki\Javno\ui.txt

Ta datoteka se nato zažene prek Windows API-ja CreateProcessA, s čimer se sprožijo zadnja vrata UDPGangster.

Prikritost po zasnovi: Vztrajnost in taktike proti analizi

UDPGangster svojo prisotnost na gostitelju zagotavlja s pomočjo vztrajnosti registra sistema Windows. Vključuje tudi široko paleto tehnik proti analizi, katerih cilj je preprečiti delovanje virtualnih okolij, peskovnikov in forenzičnih preiskav. Te vključujejo:

  • Preverjanja okolja in virtualizacije
  • Testiranje aktivnega odpravljanja napak
  • Preverjanje značilnosti procesorja za znake virtualnih strojev
  • Prepoznavanje sistemov z manj kot 2 GB RAM-a
  • Preverjanje predpon MAC naslovov za zaznavanje prodajalcev virtualnih strojev
  • Preverjanje, ali naprava pripada privzeti delovni skupini sistema Windows
  • Skeniranje procesov, kot so VBoxService.exe, VBoxTray.exe, vmware.exe in vmtoolsd.exe
  • Pregled vnosov v register za identifikatorje virtualizacije, vključno z VBox, VMBox, QEMU, VIRTUAL, VIRTUALBOX, VMWARE in Xen
  • Iskanje znanih pripomočkov za peskovnik ali odpravljanje napak
  • Ugotavljanje, ali se izvajanje izvaja znotraj analitičnega okolja

    • Šele ko so ta preverjanja opravljena, zlonamerna programska oprema začne izkoriščati sistemske podatke in komunicirati s svojim zunanjim strežnikom na vratih UDP 1269 na naslovu 157.20.182[.]75. Prek tega kanala lahko izvaja ukaze lupine prek cmd.exe, prenaša datoteke, posodablja podrobnosti konfiguracije in namešča nadaljnje koristne obremenitve.

    Operativne zmogljivosti in krajo podatkov

    Po preverjanju zlonamerna programska oprema zbere sistemske metapodatke in jih pošlje oddaljenemu strežniku C2. Komunikacija, ki temelji na UDP, napadalcem omogoča interakcijo z okuženim gostiteljem v realnem času in mu daje navodila za izvajanje ukazov, nadgradnjo zadnjih vrat ali po potrebi namestitev dodatnih zlonamernih modulov. Ta struktura podpira tako izvidniške kot dolgoročne vohunske operacije.

    Blaženje in ozaveščanje

    Ker veriga okužbe temelji na dokumentih za lažno predstavljanje z makrom, ozaveščanje uporabnikov ostaja ključni obrambni ukrep. Sumljive ali neželene priloge, zlasti tiste, ki spodbujajo aktivacijo makrov, je treba obravnavati izjemno previdno. Organizacije bi morale uveljavljati omejitve makrov, uvesti rešitve za spremljanje vedenja in usposobiti uporabnike za prepoznavanje ciljno usmerjenih taktik lažnega predstavljanja.

    Priporočeni obrambni ukrepi

    • Omejite ali onemogočite makre v celotni organizaciji.
    • Uvedite zaščito končnih točk, ki lahko zazna makre, ki odstranjujejo napake.
    • Spremljajte nenavaden odhodni UDP promet.
    • Označi poskuse komunikacije z neznanimi ali sumljivimi vrati.
    • Izobražite osebje o ciljno usmerjenih kazalnikih lažnega predstavljanja.

    Z združevanjem zavajajočih vab, prikritega izvajanja makrov in naprednih metod izogibanja kampanja UDPGangster podjetja MuddyWater ponovno poudarja prikrit dostop in regionalno zbiranje obveščevalnih podatkov. Za preprečevanje uveljavitve takšnih groženj je bistvenega pomena biti pozoren na napade, ki temeljijo na dokumentih.

    V trendu

    Najbolj gledan

    Nalaganje...