UDPGangster Arka Kapısı

İran bağlantılı MuddyWater grubuna atfedilen bir tehdit kampanyası, UDPGangster adı verilen yeni tespit edilmiş bir arka kapının dağıtımını ortaya çıkardı. TCP tabanlı iletişime dayanan geleneksel kötü amaçlı yazılımların aksine, bu araç Komuta ve Kontrol kanalı olarak Kullanıcı Veri Paketi Protokolünü kullanıyor ve bu da trafiğinin geleneksel güvenlik çözümlerinin tespit etmesini zorlaştırıyor. Arka kapı, etkinleştirildiğinde, ele geçirilmiş sistemlerin tamamen uzaktan kontrol edilmesini sağlayarak komut yürütme, dosya hırsızlığı ve ikincil kötü amaçlı yazılımların iletilmesini mümkün kılıyor.

Bölgesel Hedefleme ve Casusluk Sebepleri

Araştırmacılar, kurbanların çoğunlukla Türkiye, İsrail ve Azerbaycan'da tespit edildiğini bildiriyor. Operasyonun niteliği ve coğrafi odak noktası, hassas ortamlarda istihbarat toplamayı ve uzak noktalara ulaşmayı amaçlayan hedefli bir casusluk faaliyetine işaret ediyor.

Kimlik Avı Tuzakları ve Kötü Amaçlı Belgeler

Saldırganlar, ağlara sızmak için yoğun bir şekilde hedefli kimlik avı yöntemine güveniyor. Kuzey Kıbrıs Türk Cumhuriyeti Dışişleri Bakanlığı'nı taklit eden e-postalar, şüphelenmeyen alıcılara gönderilerek, onları 'Cumhurbaşkanlığı Seçimleri ve Sonuçları' başlıklı çevrimiçi bir seminere davet ediyor.

Bu e-postalara, kötü amaçlı belgenin iki özdeş sürümü eklenmiş: seminer.zip adlı bir ZIP arşivi ve seminer.doc adlı bir Word dosyası. Belge açıldığında, kullanıcıdan makroları etkinleştirmesini isteyerek, gömülü yükünün sessizce çalışmasını sağlıyor. Kötü amaçlı etkinliği gizlemek için makro, İsrailli telekomünikasyon sağlayıcısı Bezeq'e ait, Kasım 2025 başlarında planlanan hizmet kesintilerini anlattığı iddia edilen İbranice bir sahte görüntü gösteriyor.

Makro Yürütme ve Yük Dağıtımı

Makrolar etkinleştirildiğinde, damlalık, gizli bir form alanında depolanan Base64 verilerini otomatik olarak çözmek için Document_Open() olayından yararlanır. Ortaya çıkan içerik şuraya yazılır:

C:\Kullanıcılar\Genel\ui.txt

Bu dosya daha sonra Windows API CreateProcessA aracılığıyla başlatılır ve UDPGangster arka kapısı başlatılır.

Tasarımla Gizlilik: Kalıcılık ve Analiz Karşıtı Taktikler

UDPGangster, Windows Kayıt Defteri kalıcılığı sayesinde ana bilgisayardaki varlığını güvence altına alır. Ayrıca, sanal ortamları, deneme ortamlarını ve adli incelemeleri engellemeyi amaçlayan çok çeşitli anti-analiz tekniklerini de bünyesinde barındırır. Bunlar şunlardır:

• Ortam ve Sanallaştırma Kontrolleri
• Aktif hata ayıklama için test etme
• Sanal makine belirtileri için CPU özelliklerinin incelenmesi

• 2 GB'den az RAM'e sahip sistemlerin belirlenmesi

• VM satıcılarını tespit etmek için MAC adresi öneklerini doğrulama

• Aygıtın varsayılan Windows çalışma grubuna ait olup olmadığını kontrol etme

• VBoxService.exe, VBoxTray.exe, vmware.exe ve vmtoolsd.exe gibi işlemler taranıyor

• VBox, VMBox, QEMU, VIRTUAL, VIRTUALBOX, VMWARE ve Xen dahil olmak üzere sanallaştırma tanımlayıcıları için Kayıt Defteri girişlerini inceleme

• Bilinen deneme alanı veya hata ayıklama yardımcı programlarını arama

• Analiz ortamında yürütmenin gerçekleşip gerçekleşmediğinin belirlenmesi

Bu kontroller temizlendiğinde kötü amaçlı yazılım sistem verilerini sızdırmaya ve 157.20.182[.]75 üzerindeki 1269 numaralı UDP bağlantı noktasındaki harici sunucusuyla iletişim kurmaya başlar. Bu kanal aracılığıyla cmd.exe aracılığıyla kabuk komutları çalıştırabilir, dosyaları aktarabilir, yapılandırma ayrıntılarını güncelleyebilir ve takip yüklerini dağıtabilir.

Operasyonel Yetenekler ve Veri Hırsızlığı

Doğrulamanın ardından kötü amaçlı yazılım, sistem meta verilerini toplar ve uzak C2 sunucusuna gönderir. UDP tabanlı iletişimi, saldırganların virüslü sunucuyla gerçek zamanlı etkileşim kurmasını, komutları çalıştırmasını, arka kapıyı yükseltmesini veya gerektiğinde ek kötü amaçlı modüller bırakmasını sağlar. Bu yapı, hem keşif hem de uzun vadeli casusluk operasyonlarını destekler.

Azaltma ve Farkındalık

Enfeksiyon zinciri makro destekli kimlik avı belgelerine dayandığından, kullanıcı farkındalığı kritik bir savunma önlemi olmaya devam etmektedir. Şüpheli veya istenmeyen ekler, özellikle de makro aktivasyonunu teşvik edenler, son derece dikkatli bir şekilde ele alınmalıdır. Kuruluşlar, makro kısıtlamaları uygulamalı, davranışsal izleme çözümleri kullanmalı ve kullanıcıları hedefli kimlik avı taktiklerini tanımaları konusunda eğitmelidir.

Önerilen Savunma Tedbirleri

• Kuruluş genelinde makroları kısıtlayın veya devre dışı bırakın.
• Makro tabanlı dropper'ları algılayabilen uç nokta korumasını dağıtın.
• Olağandışı giden UDP trafiğini izleyin.
• Bilinmeyen veya şüpheli portlara yapılan iletişim girişimlerini bayraklayın.
• Personelinizi hedefli kimlik avı göstergeleri konusunda eğitin.

Aldatıcı tuzaklar, gizli makro uygulamaları ve gelişmiş kaçınma yöntemlerini bir araya getiren MuddyWater'ın UDPGangster kampanyası, gizli erişim ve bölgesel istihbarat toplamaya yeniden vurgu yaptığını gösteriyor. Belge tabanlı saldırılara karşı tetikte olmak, bu tür tehditlerin tutunmasını önlemek için olmazsa olmazdır.