UDPగ్యాంగ్‌స్టర్ బ్యాక్‌డోర్

ఇరానియన్-సంబంధిత గ్రూప్ మడ్డీవాటర్‌కు ఆపాదించబడిన బెదిరింపు ప్రచారం UDPGangster గా పిలువబడే కొత్తగా గుర్తించబడిన బ్యాక్‌డోర్ యొక్క విస్తరణను వెల్లడించింది. TCP-ఆధారిత కమ్యూనికేషన్‌పై ఆధారపడే సాంప్రదాయ మాల్వేర్ మాదిరిగా కాకుండా, ఈ సాధనం యూజర్ డేటాగ్రామ్ ప్రోటోకాల్‌ను దాని కమాండ్-అండ్-కంట్రోల్ ఛానల్‌గా ఉపయోగించుకుంటుంది, దీని వలన సాంప్రదాయ భద్రతా పరిష్కారాలను గుర్తించడం మరింత కష్టమవుతుంది. ఒకసారి యాక్టివ్ అయిన తర్వాత, బ్యాక్‌డోర్ రాజీపడిన వ్యవస్థల పూర్తి రిమోట్ మానిప్యులేషన్‌ను అందిస్తుంది, కమాండ్ అమలు, ఫైల్ దొంగతనం మరియు ద్వితీయ మాల్వేర్ డెలివరీని అనుమతిస్తుంది.

ప్రాంతీయ లక్ష్యం మరియు గూఢచర్య ఉద్దేశ్యాలు

ప్రధానంగా టర్కీ, ఇజ్రాయెల్ మరియు అజర్‌బైజాన్‌లలో బాధితులను గుర్తించామని పరిశోధకులు నివేదిస్తున్నారు. ఈ ఆపరేషన్ యొక్క స్వభావం, దాని భౌగోళిక దృష్టితో కలిపి, నిఘా సమాచారాన్ని సేకరించడం మరియు సున్నితమైన వాతావరణాలలో రిమోట్ స్థావరాలను పొందడం లక్ష్యంగా లక్ష్యంగా చేసుకున్న గూఢచర్య ప్రయత్నాన్ని సూచిస్తుంది.

ఫిషింగ్ ఎరలు మరియు హానికరమైన పత్రాలు

దాడి చేసేవారు నెట్‌వర్క్‌లలోకి చొరబడటానికి స్పియర్-ఫిషింగ్‌పై ఎక్కువగా ఆధారపడతారు. టర్కిష్ రిపబ్లిక్ ఆఫ్ నార్తర్న్ సైప్రస్ విదేశాంగ మంత్రిత్వ శాఖను అనుకరిస్తూ ఇమెయిళ్ళు అనుమానం లేని గ్రహీతలకు పంపబడ్డాయి, వారిని 'అధ్యక్ష ఎన్నికలు మరియు ఫలితాలు' అనే ఆన్‌లైన్ సెమినార్‌కు తప్పుడు ఆహ్వానం ద్వారా పంపబడ్డాయి.

ఈ ఇమెయిల్‌లకు జోడించబడినవి హానికరమైన పత్రం యొక్క రెండు సారూప్య వెర్షన్‌లు: seminer.zip అనే ZIP ఆర్కైవ్ మరియు seminer.doc అనే Word ఫైల్. తెరిచినప్పుడు, పత్రం వినియోగదారుని మాక్రోలను ప్రారంభించమని అడుగుతుంది, దాని ఎంబెడెడ్ పేలోడ్ నిశ్శబ్దంగా అమలు చేయడానికి అనుమతిస్తుంది. హానికరమైన కార్యాచరణను ముసుగు చేయడానికి, మాక్రో ఇజ్రాయెల్ టెలికమ్యూనికేషన్స్ ప్రొవైడర్ బెజెక్ నుండి హిబ్రూ-భాషా డెకోయ్ చిత్రాన్ని ప్రదర్శిస్తుంది, ఇది నవంబర్ 2025 ప్రారంభంలో ప్రణాళికాబద్ధమైన సేవా అంతరాయాలను వివరిస్తుంది.

మాక్రో ఎగ్జిక్యూషన్ మరియు పేలోడ్ డెలివరీ

మాక్రోలు యాక్టివేట్ అయిన తర్వాత, దాచిన ఫారమ్ ఫీల్డ్‌లో నిల్వ చేయబడిన Base64 డేటాను స్వయంచాలకంగా డీకోడ్ చేయడానికి డ్రాపర్ Document_Open() ఈవెంట్‌ను ప్రభావితం చేస్తుంది. ఫలిత కంటెంట్ దీనికి వ్రాయబడుతుంది:

సి:\యూజర్స్\పబ్లిక్\ui.txt

ఈ ఫైల్ తరువాత Windows API CreateProcessA ద్వారా ప్రారంభించబడుతుంది, UDPGangster బ్యాక్‌డోర్‌ను ప్రారంభిస్తుంది.

స్టెల్త్ బై డిజైన్: పెర్సిస్టెన్స్ అండ్ యాంటీ-అనాలిసిస్ టాక్టిక్స్

విండోస్ రిజిస్ట్రీ నిలకడ ద్వారా UDPGangster హోస్ట్‌లో తన ఉనికిని భద్రపరుస్తుంది. ఇది వర్చువల్ ఎన్విరాన్‌మెంట్‌లు, శాండ్‌బాక్స్‌లు మరియు ఫోరెన్సిక్ స్క్రూటినీని అడ్డుకునే లక్ష్యంతో విస్తృత శ్రేణి యాంటీ-విశ్లేషణ పద్ధతులను కూడా కలిగి ఉంటుంది. వీటిలో ఇవి ఉన్నాయి:

• పర్యావరణం మరియు వర్చువలైజేషన్ తనిఖీలు
• యాక్టివ్ డీబగ్గింగ్ కోసం పరీక్షిస్తోంది

ఈ తనిఖీలు క్లియర్ అయినప్పుడు మాత్రమే మాల్వేర్ 157.20.182[.]75న UDP పోర్ట్ 1269 వద్ద సిస్టమ్ డేటాను బయటకు పంపడం మరియు దాని బాహ్య సర్వర్‌తో కమ్యూనికేట్ చేయడం ప్రారంభిస్తుంది. ఈ ఛానెల్ ద్వారా, ఇది cmd.exe ద్వారా షెల్ ఆదేశాలను అమలు చేయగలదు, ఫైల్‌లను బదిలీ చేయగలదు, కాన్ఫిగరేషన్ వివరాలను నవీకరించగలదు మరియు ఫాలో-అప్ పేలోడ్‌లను అమలు చేయగలదు.

కార్యాచరణ సామర్థ్యాలు మరియు డేటా దొంగతనం

ధ్రువీకరణ తర్వాత, మాల్వేర్ సిస్టమ్ మెటాడేటాను సేకరించి రిమోట్ C2 సర్వర్‌కు పంపుతుంది. దీని UDP-ఆధారిత కమ్యూనికేషన్ దాడి చేసేవారిని ఇన్ఫెక్ట్ చేయబడిన హోస్ట్‌తో నిజ సమయంలో సంభాషించడానికి అనుమతిస్తుంది, ఆదేశాలను అమలు చేయమని, బ్యాక్‌డోర్‌ను అప్‌గ్రేడ్ చేయమని లేదా అవసరమైనప్పుడు అదనపు హానికరమైన మాడ్యూల్‌లను వదలమని నిర్దేశిస్తుంది. ఈ నిర్మాణం నిఘా మరియు దీర్ఘకాలిక గూఢచర్య కార్యకలాపాలకు మద్దతు ఇస్తుంది.

ఉపశమనం మరియు అవగాహన

ఇన్ఫెక్షన్ గొలుసు మాక్రో-ఎనేబుల్డ్ ఫిషింగ్ డాక్యుమెంట్లపై ఆధారపడి ఉంటుంది కాబట్టి, వినియోగదారు అవగాహన ఒక కీలకమైన రక్షణ చర్యగా మిగిలిపోయింది. అనుమానాస్పద లేదా అయాచిత అటాచ్‌మెంట్‌లు, ముఖ్యంగా మాక్రో యాక్టివేషన్‌ను కోరుతున్న వాటిని చాలా జాగ్రత్తగా చూసుకోవాలి. సంస్థలు మాక్రో పరిమితులను అమలు చేయాలి, ప్రవర్తనా పర్యవేక్షణ పరిష్కారాలను అమలు చేయాలి మరియు లక్ష్య ఫిషింగ్ వ్యూహాలను గుర్తించడానికి వినియోగదారులకు శిక్షణ ఇవ్వాలి.

సిఫార్సు చేయబడిన రక్షణ చర్యలు

• సంస్థ అంతటా మాక్రోలను పరిమితం చేయండి లేదా నిలిపివేయండి.
• స్థూల-ఆధారిత డ్రాప్పర్‌లను గుర్తించగల ఎండ్‌పాయింట్ రక్షణను అమలు చేయండి.
• అసాధారణ అవుట్‌బౌండ్ UDP ట్రాఫిక్ కోసం పర్యవేక్షించండి.
• తెలియని లేదా అనుమానాస్పద పోర్ట్‌లకు కమ్యూనికేషన్ ప్రయత్నాలను ఫ్లాగ్ చేయండి.
• లక్ష్యంగా చేసుకున్న ఫిషింగ్ సూచికలపై సిబ్బందికి అవగాహన కల్పించండి.

మోసపూరిత ఎరలు, దొంగతనమైన స్థూల అమలు మరియు అధునాతన ఎగవేత పద్ధతులను కలపడం ద్వారా, మడ్డీవాటర్ యొక్క UDPగ్యాంగ్‌స్టర్ ప్రచారం రహస్య ప్రాప్యత మరియు ప్రాంతీయ నిఘా సేకరణపై కొత్తగా ప్రాధాన్యతనిస్తుంది. అటువంటి బెదిరింపులు స్థిరపడకుండా నిరోధించడానికి డాక్యుమెంట్ ఆధారిత దాడులకు వ్యతిరేకంగా అప్రమత్తంగా ఉండటం చాలా అవసరం.