UDPGangster Backdoor
Кампања претњи која се приписује групи MuddyWater повезаној са Ираном открила је постављање новоидентификованог задњег улаза названог UDPGangster. За разлику од конвенционалног малвера који се ослања на комуникацију засновану на TCP-у, овај алат користи User Datagram Protocol као свој канал за команду и контролу, што отежава откривање његовог саобраћаја традиционалним безбедносним решењима. Једном активан, задњи улаз омогућава потпуну даљинску манипулацију угроженим системима, омогућавајући извршавање команди, крађу датотека и испоруку секундарног малвера.
Преглед садржаја
Регионално циљање и мотиви шпијунаже
Истраживачи извештавају да су жртве идентификоване првенствено у Турској, Израелу и Азербејџану. Природа операције, у комбинацији са њеним географским фокусом, указује на циљани шпијунски напор усмерен на прикупљање обавештајних података и стицање удаљених упоришта у осетљивим окружењима.
Мамци за фишинг и злонамерни документи
Нападачи се у великој мери ослањају на фишинг како би се инфилтрирали у мреже. Имејлови који се лажно представљају као Министарство спољних послова Турске Републике Северни Кипар слати су неслутећим примаоцима, лажно их позивајући на онлајн семинар под називом „Председнички избори и резултати“.
Уз ове имејлове биле су приложене две идентичне верзије злонамерног документа: ZIP архива под називом seminer.zip и Word датотека под називом seminer.doc. Када се отвори, документ тражи од корисника да омогући макрое, омогућавајући његовом уграђеном корисном терету да се тихо покреће. Да би се прикрила злонамерна активност, макро приказује мамац на хебрејском језику од израелског телекомуникационог провајдера Bezeq, наводно описујући планиране прекиде услуге почетком новембра 2025. године.
Извршавање макроа и испорука корисног терета
Када се макрои активирају, дропер користи догађај Document_Open() да би аутоматски декодирао Base64 податке сачуване унутар скривеног поља обрасца. Добијени садржај се уписује у:
C:\Корисници\Јавни\ui.txt
Ова датотека се затим покреће путем Windows API-ја CreateProcessA, покрећући UDPGangster задња врата.
Прикривеност по дизајну: Упорност и тактике против анализе
UDPGangster обезбеђује своје присуство на хосту путем перзистентности Windows регистра. Такође укључује широк спектар техника анти-аналитике усмерених на спречавање виртуелних окружења, „пешчаника“ и форензичке провере. То укључује:
- Провере окружења и виртуелизације
- Тестирање активног отклањања грешака
Тек када се ове провере обришу, злонамерни софтвер почиње да извлачи системске податке и комуницира са својим екстерним сервером на UDP порту 1269 на 157.20.182[.]75. Преко овог канала, може да покреће команде љуске путем cmd.exe, преноси датотеке, ажурира детаље конфигурације и распоређује пратеће корисне оптерећења.
Оперативне могућности и крађа података
Након валидације, злонамерни софтвер прикупља метаподатке система и шаље их удаљеном C2 серверу. Његова UDP-базирана комуникација омогућава нападачима да интерагују са зараженим хостом у реалном времену, дајући му упутства да извршава команде, надограђује задња врата или по потреби убацује додатне злонамерне модуле. Ова структура подржава и извиђачке и дугорочне шпијунске операције.
Ублажавање и свест
Пошто ланац инфекције зависи од макро-омогућених фишинг докумената, свест корисника остаје кључна одбрамбена мера. Сумњиве или непожељне прилоге, посебно оне који подстичу активацију макроа, треба третирати са изузетним опрезом. Организације би требало да спроводе макро ограничења, примене решења за праћење понашања и обуче кориснике да препознају циљане фишинг тактике.
Препоручене одбрамбене мере
- Ограничите или онемогућите макрое у целој организацији.
- Примените заштиту крајњих тачака способну за детекцију одбацивача макроа.
- Пратите необичан одлазни UDP саобраћај.
- Означи покушаје комуникације са непознатим или сумњивим портовима.
- Едукујте особље о циљаним индикаторима фишинга.
Комбиновањем обмањујућих мамаца, прикривеног извршавања макроа и напредних метода избегавања, кампања UDPGangster компаније MuddyWater показује обновљени нагласак на тајном приступу и регионалном прикупљању обавештајних података. Будност против напада заснованих на документима је неопходна како би се спречило да се такве претње учврсте.
