Kuota e zbritjes me shumë licencë
Baza e të dhënave të kërcënimeve Malware UDPGangster Backdoor

UDPGangster Backdoor

Nga MezoMalware, Kërcënimi i avancuar i vazhdueshëm (APT), Dyer të pasme
Përkthe në:

Një fushatë kërcënimesh që i atribuohet grupit të lidhur me Iranin, MuddyWater, ka zbuluar vendosjen e një dere të pasme të identifikuar rishtazi të quajtur UDPGangster. Ndryshe nga programet keqdashëse konvencionale që mbështeten në komunikimin e bazuar në TCP, ky mjet përdor Protokollin e të Dhënave të Përdoruesit si kanalin e tij të Komandës dhe Kontrollit, duke e bërë trafikun e tij më të vështirë për t'u zbuluar nga zgjidhjet tradicionale të sigurisë. Pasi të jetë aktive, dera e pasme ofron manipulim të plotë në distancë të sistemeve të kompromentuara, duke mundësuar ekzekutimin e komandave, vjedhjen e skedarëve dhe shpërndarjen e programeve keqdashëse dytësore.

Targetimi Rajonal dhe Motivet e Spiunazhit

Studiuesit raportojnë se viktimat janë identifikuar kryesisht në Turqi, Izrael dhe Azerbajxhan. Natyra e operacionit, e kombinuar me fokusin e tij gjeografik, sinjalizon një përpjekje të synuar spiunazhi që synon mbledhjen e inteligjencës dhe fitimin e pozicioneve të largëta brenda mjediseve të ndjeshme.

Karrema për phishing dhe dokumente keqdashëse

Sulmuesit mbështeten shumë në spear‑phishing për të infiltruar rrjetet. Email-et që imitonin Ministrinë e Punëve të Jashtme të Republikës Turke të Qipros Veriore u dërgoheshin marrësve të pasigurt, duke i ftuar ata në mënyrë të rreme në një seminar online të titulluar "Zgjedhjet dhe Rezultatet Presidenciale".

Bashkëngjitur këtyre emaileve ishin dy versione identike të dokumentit keqdashës: një arkiv ZIP i quajtur seminer.zip dhe një skedar Word i titulluar seminer.doc. Kur hapet, dokumenti i kërkon përdoruesit të aktivizojë makrot, duke lejuar që ngarkesa e tij e integruar të funksionojë në heshtje. Për të maskuar aktivitetin keqdashës, makroja shfaq një imazh karrem në gjuhën hebraike nga ofruesi izraelit i telekomunikacionit Bezeq, që supozohet se përshkruan ndërprerjet e planifikuara të shërbimit në fillim të nëntorit 2025.

Ekzekutimi i makrove dhe shpërndarja e ngarkesës

Pasi aktivizohen makrot, dropper përdor ngjarjen Document_Open() për të deshifruar automatikisht të dhënat Base64 të ruajtura brenda një fushe të fshehur formulari. Përmbajtja që rezulton shkruhet në:

C:\Përdoruesit\Publik\ui.txt

Ky skedar më pas hapet nëpërmjet API-t të Windows CreateProcessA, duke inicuar derën e pasme të UDPGangster.

Vjedhurazi me Dizajn: Këmbëngulje dhe Taktika Anti-Analizë

UDPGangster siguron praninë e tij në host përmes persistencës së Regjistrit të Windows. Ai gjithashtu përfshin një gamë të gjerë teknikash anti-analizë që synojnë pengimin e mjediseve virtuale, sandbox-eve dhe shqyrtimit mjeko-ligjor. Këto përfshijnë:

  • Kontrollet e Mjedisit dhe Virtualizimit
  • Testimi për debugging aktiv
  • Inspektimi i karakteristikave të CPU-së për shenja të makinave virtuale
  • Identifikimi i sistemeve me më pak se 2 GB RAM
  • Validimi i prefikseve të adresës MAC për të zbuluar shitësit e VM-ve
  • Kontrollimi nëse pajisja i përket grupit të punës së parazgjedhur të Windows
  • Duke skanuar për procese të tilla si VBoxService.exe, VBoxTray.exe, vmware.exe dhe vmtoolsd.exe
  • Rishikimi i hyrjeve të Regjistrit për identifikuesit e virtualizimit, duke përfshirë VBox, VMBox, QEMU, VIRTUAL, VIRTUALBOX, VMWARE dhe Xen
  • Duke kërkuar për shërbime të njohura të sandboxing ose debugging
  • Përcaktimi nëse ekzekutimi po ndodh brenda një mjedisi analize

Vetëm kur këto kontrolle janë pastruar, programi keqdashës fillon të nxjerrë të dhënat e sistemit dhe të komunikojë me serverin e tij të jashtëm në portin UDP 1269 në 157.20.182[.]75. Përmes këtij kanali, ai mund të ekzekutojë komanda shell nëpërmjet cmd.exe, të transferojë skedarë, të përditësojë detajet e konfigurimit dhe të vendosë ngarkesa pasuese.

Aftësitë Operacionale dhe Vjedhja e të Dhënave

Pas validimit, programi keqdashës mbledh meta të dhënat e sistemit dhe i dërgon ato në serverin e largët C2. Komunikimi i tij i bazuar në UDP u lejon sulmuesve të bashkëveprojnë me hostin e infektuar në kohë reale, duke e udhëzuar atë të ekzekutojë komanda, të përmirësojë derën e pasme ose të heqë module shtesë keqdashëse sipas nevojës. Kjo strukturë mbështet si operacionet e zbulimit ashtu edhe ato të spiunazhit afatgjatë.

Zbutja dhe Ndërgjegjësimi

Meqenëse zinxhiri i infeksionit varet nga dokumentet e phishing-ut të aktivizuara nga makrot, ndërgjegjësimi i përdoruesit mbetet një masë kritike mbrojtëse. Bashkëngjitjet e dyshimta ose të pakërkuara, veçanërisht ato që kërkojnë aktivizimin e makrove, duhet të trajtohen me kujdes ekstrem. Organizatat duhet të zbatojnë kufizime makro, të vendosin zgjidhje për monitorimin e sjelljes dhe të trajnojnë përdoruesit për të njohur taktikat e synuara të phishing-ut.

Masat e Mbrojtjes të Rekomanduara

  • Kufizoni ose çaktivizoni makrot në të gjithë organizatën.
  • Vendosni mbrojtje të pikës fundore të aftë për të zbuluar lëshuesit e bazuar në makro.
  • Monitoroni për trafik të pazakontë UDP dalës.
  • Raporto përpjekjet e komunikimit në porta të panjohura ose të dyshimta.
  • Edukoni stafin mbi treguesit e synuar të phishing-ut.

Duke kombinuar karrema mashtruese, ekzekutim të fshehtë makro dhe metoda të përparuara shmangieje, fushata UDPGangster e MuddyWater demonstron një theks të ripërtërirë në aksesin e fshehtë dhe mbledhjen rajonale të inteligjencës. Të qëndrosh vigjilent ndaj sulmeve të bazuara në dokumente është thelbësore për të parandaluar që kërcënime të tilla të krijojnë një pikëmbështetje.

Në trend

Më e shikuara

Po ngarkohet...