Бекдор UDPGangster
Кампанія зі створення загроз, яку приписують пов'язаній з Іраном групі MuddyWater, виявила розгортання нещодавно виявленого бекдору під назвою UDPGangster. На відміну від звичайного шкідливого програмного забезпечення, яке використовує зв'язок на основі TCP, цей інструмент використовує протокол користувацьких дейтаграм як канал керування, що ускладнює виявлення його трафіку традиційними рішеннями безпеки. Після активації бекдор забезпечує повне віддалене маніпулювання скомпрометованими системами, дозволяючи виконувати команди, крадіжку файлів та доставку вторинного шкідливого програмного забезпечення.
Зміст
Регіональне таргетування та шпигунські мотиви
Дослідники повідомляють, що жертв було виявлено переважно в Туреччині, Ізраїлі та Азербайджані. Характер операції в поєднанні з її географічною спрямованістю свідчить про цілеспрямовані шпигунські зусилля, спрямовані на збір розвідувальних даних та отримання віддалених плацдармів у чутливих середовищах.
Фішингові приманки та шкідливі документи
Зловмисники значною мірою покладаються на фішинг для проникнення в мережі. Електронні листи, що видають себе за Міністерство закордонних справ Турецької Республіки Північного Кіпру, надсилалися нічого не підозрюючим одержувачам, фальшиво запрошуючи їх на онлайн-семінар під назвою «Президентські вибори та їх результати».
До цих електронних листів було додано дві ідентичні версії шкідливого документа: ZIP-архів під назвою seminer.zip та файл Word під назвою seminer.doc. Після відкриття документ пропонує користувачеві ввімкнути макроси, що дозволяє його вбудованому корисному навантаженню працювати непомітно. Щоб замаскувати шкідливу активність, макрос відображає зображення-приманку мовою іврит від ізраїльського телекомунікаційного провайдера Bezeq, яке нібито описує заплановані перебої в обслуговуванні на початку листопада 2025 року.
Виконання макросів та доставка корисного навантаження
Після активації макросів, дроппер використовує подію Document_Open() для автоматичного декодування даних Base64, що зберігаються в прихованому полі форми. Отриманий вміст записується до:
C:\Користувачі\Публічний\ui.txt
Потім цей файл запускається через Windows API CreateProcessA, ініціюючи бекдор UDPGangster.
Прихованість за задумом: Наполегливість та тактика антианалізу
UDPGangster забезпечує свою присутність на хості за допомогою збереження реєстру Windows. Він також включає широкий спектр методів антианалізу, спрямованих на запобігання віртуальним середовищам, пісочницям та судово-медичній перевірці. До них належать:
- Перевірки середовища та віртуалізації
- Тестування активного налагодження
- Перевірка характеристик процесора на наявність ознак віртуальних машин
- Визначення систем з оперативною пам'яттю менше 2 ГБ
- Перевірка префіксів MAC-адрес для виявлення постачальників віртуальних машин
- Перевірка належності пристрою до робочої групи Windows за замовчуванням
- Сканування на наявність таких процесів, як VBoxService.exe, VBoxTray.exe, vmware.exe та vmtoolsd.exe
- Перевірка записів реєстру на наявність ідентифікаторів віртуалізації, включаючи VBox, VMBox, QEMU, VIRTUAL, VIRTUALBOX, VMWARE та Xen
- Пошук відомих утиліт для роботи з ізольованим середовищем або налагодження
- Визначення того, чи відбувається виконання в середовищі аналізу
Тільки після проходження цих перевірок шкідливе програмне забезпечення починає вилучати системні дані та зв'язуватися зі своїм зовнішнім сервером через UDP-порт 1269 на адресі 157.20.182[.]75. Через цей канал воно може виконувати команди оболонки через cmd.exe, передавати файли, оновлювати деталі конфігурації та розгортати подальші корисні навантаження.
Операційні можливості та крадіжка даних
Після перевірки шкідливе програмне забезпечення збирає системні метадані та надсилає їх на віддалений сервер C2. Його зв'язок на основі UDP дозволяє зловмисникам взаємодіяти із зараженим хостом у режимі реального часу, надаючи йому інструкції щодо виконання команд, оновлення бекдору або встановлення додаткових шкідливих модулів за потреби. Така структура підтримує як розвідувальні, так і довгострокові шпигунські операції.
Пом’якшення наслідків та обізнаність
Оскільки ланцюг зараження залежить від фішингових документів з макросами, обізнаність користувачів залишається критично важливим захисним заходом. До підозрілих або небажаних вкладень, особливо тих, що спонукають до активації макросів, слід ставитися з надзвичайною обережністю. Організаціям слід запроваджувати обмеження щодо макросів, впроваджувати рішення для моніторингу поведінки та навчати користувачів розпізнавати цільову фішингову тактику.
Рекомендовані захисні заходи
- Обмежте або вимкніть макроси в організації.
- Розгорніть захист кінцевих точок, здатний виявляти макроси-дроппери.
- Відстежуйте незвичний вихідний UDP-трафік.
- Позначати спроби зв'язку з невідомими або підозрілими портами.
- Навчіть персонал щодо цільових індикаторів фішингу.
Поєднуючи оманливі приманки, приховане виконання макросів та передові методи ухилення, кампанія MuddyWater UDPGangster демонструє новий акцент на прихований доступ та регіональний збір розвідувальних даних. Пильність щодо атак на основі документів є важливою для запобігання поширенню таких загроз.
