UDPGangster แบ็กดอร์

แคมเปญคุกคามที่เชื่อมโยงกับกลุ่ม MuddyWater ซึ่งเชื่อมโยงกับอิหร่าน ได้เปิดเผยถึงการติดตั้งแบ็คดอร์ที่เพิ่งค้นพบใหม่ซึ่งมีชื่อว่า UDPGangster ซึ่งแตกต่างจากมัลแวร์ทั่วไปที่อาศัยการสื่อสารแบบ TCP เครื่องมือนี้ใช้ User Datagram Protocol เป็นช่องทางควบคุมและสั่งการ ทำให้โซลูชันความปลอดภัยแบบเดิมตรวจจับการรับส่งข้อมูลได้ยากขึ้น เมื่อเปิดใช้งานแล้ว แบ็คดอร์จะจัดการระบบที่ถูกบุกรุกจากระยะไกลได้อย่างสมบูรณ์ ทำให้สามารถสั่งการ ขโมยไฟล์ และส่งต่อมัลแวร์สำรองได้

การกำหนดเป้าหมายตามภูมิภาคและแรงจูงใจในการจารกรรม

นักวิจัยรายงานว่าเหยื่อส่วนใหญ่ได้รับการระบุตัวตนในตุรกี อิสราเอล และอาเซอร์ไบจาน ลักษณะของปฏิบัติการนี้ ประกอบกับเป้าหมายทางภูมิศาสตร์ บ่งชี้ถึงความพยายามจารกรรมแบบเจาะจงเป้าหมายที่มุ่งรวบรวมข่าวกรองและยึดฐานที่มั่นในระยะไกลภายในสภาพแวดล้อมที่ละเอียดอ่อน

การหลอกลวงทางฟิชชิ่งและเอกสารที่เป็นอันตราย

ผู้โจมตีอาศัยการฟิชชิ่งแบบสเปียร์ฟิชชิ่งเป็นหลักในการแทรกซึมเครือข่าย อีเมลที่ปลอมแปลงเป็นกระทรวงการต่างประเทศสาธารณรัฐตุรกีแห่งไซปรัสเหนือ ถูกส่งไปยังผู้รับที่ไม่ทันระวังตัว โดยเชิญชวนอย่างผิดๆ ให้เข้าร่วมสัมมนาออนไลน์ในหัวข้อ "การเลือกตั้งประธานาธิบดีและผลการเลือกตั้ง"

เอกสารอันตรายสองฉบับที่เหมือนกันแนบมากับอีเมลเหล่านี้ ได้แก่ ไฟล์ ZIP ชื่อ seminer.zip และไฟล์ Word ชื่อ seminer.doc เมื่อเปิดเอกสาร เอกสารจะแจ้งให้ผู้ใช้เปิดใช้งานแมโคร ซึ่งจะทำให้เพย์โหลดที่ฝังไว้ทำงานอย่างเงียบๆ เพื่อปกปิดกิจกรรมที่เป็นอันตราย แมโครจะแสดงภาพหลอกเป็นภาษาฮีบรูจาก Bezeq ผู้ให้บริการโทรคมนาคมของอิสราเอล ซึ่งคาดว่าจะอธิบายถึงการหยุดชะงักของบริการที่วางแผนไว้ในช่วงต้นเดือนพฤศจิกายน 2568

การดำเนินการแมโครและการส่งมอบเพย์โหลด

เมื่อเปิดใช้งานแมโครแล้ว ดรอปเปอร์จะใช้ประโยชน์จากเหตุการณ์ Document_Open() เพื่อถอดรหัสข้อมูล Base64 ที่เก็บไว้ในฟิลด์ฟอร์มที่ถูกซ่อนไว้โดยอัตโนมัติ เนื้อหาที่ได้จะถูกเขียนลงใน:

C:\Users\สาธารณะ\ui.txt

จากนั้นไฟล์นี้จะถูกเปิดใช้งานผ่าน Windows API CreateProcessA ซึ่งเป็นการเริ่มการทำงานของแบ็กดอร์ UDPGangster

การออกแบบอย่างซ่อนเร้น: ความคงอยู่และกลยุทธ์ต่อต้านการวิเคราะห์

UDPGangster รักษาความปลอดภัยการปรากฏบนโฮสต์ผ่าน Windows Registry Persistence นอกจากนี้ ยังผสานรวมเทคนิคป้องกันการวิเคราะห์ที่หลากหลายเพื่อขัดขวางสภาพแวดล้อมเสมือน แซนด์บ็อกซ์ และการตรวจสอบทางนิติวิทยาศาสตร์ ซึ่งรวมถึง:

• การตรวจสอบสภาพแวดล้อมและการจำลองเสมือน
• การทดสอบสำหรับการดีบักแบบแอคทีฟ

เมื่อการตรวจสอบเหล่านี้เสร็จสิ้น มัลแวร์จะเริ่มขโมยข้อมูลระบบและสื่อสารกับเซิร์ฟเวอร์ภายนอกที่พอร์ต UDP 1269 บน 157.20.182[.]75 ผ่านช่องทางนี้ มันสามารถรันคำสั่งเชลล์ผ่าน cmd.exe ถ่ายโอนไฟล์ อัปเดตรายละเอียดการกำหนดค่า และปรับใช้เพย์โหลดที่ตามมา

ความสามารถในการปฏิบัติงานและการโจรกรรมข้อมูล

หลังจากการตรวจสอบแล้ว มัลแวร์จะรวบรวมข้อมูลเมตาของระบบและส่งไปยังเซิร์ฟเวอร์ C2 ระยะไกล การสื่อสารผ่าน UDP ช่วยให้ผู้โจมตีสามารถโต้ตอบกับโฮสต์ที่ติดไวรัสได้แบบเรียลไทม์ โดยสั่งให้รันคำสั่ง อัปเกรดแบ็คดอร์ หรือลบโมดูลอันตรายเพิ่มเติมตามความจำเป็น โครงสร้างนี้รองรับทั้งการลาดตระเวนและการจารกรรมระยะยาว

การบรรเทาและการตระหนักรู้

เนื่องจากห่วงโซ่การติดเชื้อขึ้นอยู่กับเอกสารฟิชชิงที่เปิดใช้งานมาโคร การตระหนักรู้ของผู้ใช้จึงยังคงเป็นมาตรการป้องกันที่สำคัญ ไฟล์แนบที่น่าสงสัยหรือไม่พึงประสงค์ โดยเฉพาะอย่างยิ่งไฟล์ที่กระตุ้นให้เปิดใช้งานมาโคร ควรได้รับการดูแลด้วยความระมัดระวังอย่างยิ่ง องค์กรต่างๆ ควรบังคับใช้ข้อจำกัดด้านมาโคร ปรับใช้โซลูชันการตรวจสอบพฤติกรรม และฝึกอบรมผู้ใช้ให้รู้จักกลยุทธ์ฟิชชิงแบบเจาะจงเป้าหมาย

มาตรการป้องกันที่แนะนำ

• จำกัดหรือปิดใช้งานแมโครทั่วทั้งองค์กร
• ปรับใช้การป้องกันจุดสิ้นสุดที่มีความสามารถในการตรวจจับดรอปเปอร์ที่ใช้มาโคร
• ตรวจสอบการรับส่งข้อมูล UDP ขาออกที่ผิดปกติ
• แจ้งความพยายามสื่อสารไปยังพอร์ตที่ไม่รู้จักหรือมีเหตุน่าสงสัย
• ให้ความรู้แก่พนักงานเกี่ยวกับตัวบ่งชี้ฟิชชิ่งแบบกำหนดเป้าหมาย

ด้วยการผสมผสานการล่อลวง การดำเนินการแบบมาโครอย่างลับๆ และวิธีการหลบเลี่ยงขั้นสูง แคมเปญ UDPGangster ของ MuddyWater แสดงให้เห็นถึงการให้ความสำคัญกับการเข้าถึงแบบลับๆ และการรวบรวมข้อมูลข่าวกรองระดับภูมิภาคอีกครั้ง การเฝ้าระวังการโจมตีแบบเอกสารเป็นสิ่งสำคัญอย่างยิ่งในการป้องกันไม่ให้ภัยคุกคามเหล่านี้เข้ามาแทรกแซง