Rabattoffert för flera licenser
Hotdatabas Skadlig programvara UDPGangster Bakdörr

UDPGangster Bakdörr

Med Mezo år Skadlig programvara, Advanced Persistent Threat (APT), Bakdörrar
Översätt till:

En hotkampanj som tillskrivs den Iran-kopplade gruppen MuddyWater har avslöjat utplaceringen av en nyligen identifierad bakdörr kallad UDPGangster. Till skillnad från konventionell skadlig kod som förlitar sig på TCP-baserad kommunikation använder detta verktyg User Datagram Protocol som sin kommando- och kontrollkanal, vilket gör dess trafik svårare för traditionella säkerhetslösningar att upptäcka. När bakdörren är aktiv ger den fullständig fjärrhantering av komprometterade system, vilket möjliggör kommandokörning, filstöld och leverans av sekundär skadlig kod.

Regional målinriktning och spionagemotiv

Forskare rapporterar att offer främst har identifierats i Turkiet, Israel och Azerbajdzjan. Operationens natur, i kombination med dess geografiska fokus, signalerar en riktad spioninsats som syftar till att samla in underrättelser och få fotfäste i avlägsna miljöer.

Nätfiske och skadliga dokument

Angriparna förlitar sig i hög grad på spear-phishing för att infiltrera nätverk. E-postmeddelanden som utgav sig för att vara det turkiska utrikesministeriet i Nordcypern skickades till intet ont anande mottagare och bjöd falskeligen in dem till ett onlineseminarium med titeln "Presidentval och resultat".

Till dessa e-postmeddelanden bifogades två identiska versioner av det skadliga dokumentet: ett ZIP-arkiv med namnet seminer.zip och en Word-fil med titeln seminer.doc. När dokumentet öppnas uppmanas användaren att aktivera makron, vilket gör att dess inbäddade nyttolast körs tyst. För att maskera den skadliga aktiviteten visar makrot en hebreiskspråkig lockbetebild från den israeliska telekommunikationsleverantören Bezeq, som påstås beskriva planerade avbrott i tjänsten i början av november 2025.

Makrokörning och nyttolastleverans

När makron är aktiverade använder droppern händelsen Document_Open() för att automatiskt avkoda Base64-data som lagras i ett dolt formulärfält. Det resulterande innehållet skrivs till:

C:\Användare\Offentlig\ui.txt

Den här filen startas sedan via Windows API CreateProcessA, vilket initierar UDPGangster-bakdörren.

Stealth by Design: Uthållighet och anti-analystaktik

UDPGangster säkrar sin närvaro på värden genom att säkra Windows-registret. Den innehåller också ett brett utbud av antianalystekniker som syftar till att motverka virtuella miljöer, sandlådor och forensisk granskning. Dessa inkluderar:

  • Miljö- och virtualiseringskontroller
  • Testning för aktiv felsökning
  • Inspektera CPU-egenskaper för tecken på virtuella maskiner
  • Identifiera system med mindre än 2 GB RAM
  • Validerar MAC-adressprefix för att upptäcka VM-leverantörer
  • Kontrollerar om enheten tillhör standardarbetsgruppen för Windows
  • Söker efter processer som VBoxService.exe, VBoxTray.exe, vmware.exe och vmtoolsd.exe
  • Granska registerposter för virtualiseringsidentifierare, inklusive VBox, VMBox, QEMU, VIRTUAL, VIRTUALBOX, VMWARE och Xen
  • Söker efter kända sandbox- eller felsökningsverktyg
  • Avgöra om körning sker i en analysmiljö

Först när dessa kontroller är avmarkerade börjar skadlig programvara exfiltrera systemdata och kommunicera med sin externa server på UDP-port 1269 på 157.20.182[.]75. Genom den här kanalen kan den köra shell-kommandon via cmd.exe, överföra filer, uppdatera konfigurationsdetaljer och distribuera uppföljande nyttolaster.

Operativa funktioner och datastöld

Efter validering samlar den skadliga programvaran in systemmetadata och skickar den till den fjärranslutna C2-servern. Dess UDP-baserade kommunikation gör det möjligt för angripare att interagera med den infekterade värden i realtid och instruera den att utföra kommandon, uppgradera bakdörren eller ta bort ytterligare skadliga moduler efter behov. Denna struktur stöder både rekognoscering och långsiktiga spionageoperationer.

Mildring och medvetenhet

Eftersom infektionskedjan är beroende av makroaktiverade nätfiskedokument är användarmedvetenhet fortfarande en viktig försvarsåtgärd. Misstänkta eller oönskade bilagor, särskilt de som uppmanar till makroaktivering, bör behandlas med extrem försiktighet. Organisationer bör tillämpa makrorestriktioner, implementera beteendeövervakningslösningar och utbilda användare i att känna igen riktade nätfisketaktik.

Rekommenderade försvarsåtgärder

  • Begränsa eller inaktivera makron i hela organisationen.
  • Implementera slutpunktsskydd som kan upptäcka makrobaserade droppers.
  • Övervaka ovanlig utgående UDP-trafik.
  • Flagga kommunikationsförsök till okända eller misstänkta portar.
  • Utbilda personalen om riktade nätfiskeindikatorer.

Genom att kombinera vilseledande lockbete, smygande makroexekvering och avancerade undvikningsmetoder visar MuddyWaters UDPGangster-kampanj en förnyad betoning på hemlig åtkomst och regional underrättelseinsamling. Att vara vaksam mot dokumentbaserade attacker är avgörande för att förhindra att sådana hot får fotfäste.

Trendigt

Mest sedda

Läser in...