Báo giá giảm giá nhiều giấy phép
Cơ sở dữ liệu về mối đe dọa Phần mềm độc hại UDPGangster Backdoor

UDPGangster Backdoor

Đến năm Mezo năm Phần mềm độc hại, Mối đe dọa dai dẳng nâng cao (APT), Cửa sau
Dịch sang:

Một chiến dịch đe dọa được cho là do nhóm MuddyWater có liên hệ với Iran thực hiện đã tiết lộ việc triển khai một backdoor mới được xác định có tên UDPGangster. Không giống như các phần mềm độc hại thông thường dựa trên giao tiếp dựa trên TCP, công cụ này sử dụng Giao thức Datagram Người dùng (UDP) làm kênh Chỉ huy và Kiểm soát (C&C), khiến lưu lượng truy cập của nó trở nên khó phát hiện hơn đối với các giải pháp bảo mật truyền thống. Một khi được kích hoạt, backdoor này sẽ thực hiện toàn bộ thao tác từ xa trên các hệ thống bị xâm nhập, cho phép thực thi lệnh, đánh cắp tệp và phát tán phần mềm độc hại thứ cấp.

Mục tiêu khu vực và động cơ gián điệp

Các nhà nghiên cứu báo cáo rằng các nạn nhân chủ yếu được xác định ở Thổ Nhĩ Kỳ, Israel và Azerbaijan. Tính chất của hoạt động này, kết hợp với phạm vi địa lý, cho thấy một nỗ lực gián điệp có chủ đích nhằm thu thập thông tin tình báo và chiếm giữ các vị trí xa xôi trong các môi trường nhạy cảm.

Mồi nhử lừa đảo và tài liệu độc hại

Những kẻ tấn công chủ yếu sử dụng phương pháp lừa đảo trực tuyến (spear-phishing) để xâm nhập vào mạng lưới. Chúng gửi email mạo danh Bộ Ngoại giao Cộng hòa Bắc Síp thuộc Thổ Nhĩ Kỳ đến những người nhận không hề hay biết, mời họ tham gia một hội thảo trực tuyến có tiêu đề "Bầu cử Tổng thống và Kết quả".

Đính kèm trong các email này là hai phiên bản giống hệt nhau của tài liệu độc hại: một tệp ZIP có tên là seminer.zip và một tệp Word có tên là seminer.doc. Khi mở, tài liệu sẽ nhắc người dùng bật macro, cho phép phần mềm độc hại được nhúng trong đó chạy ngầm. Để che giấu hoạt động độc hại, macro hiển thị một hình ảnh giả bằng tiếng Do Thái từ nhà cung cấp dịch vụ viễn thông Bezeq của Israel, được cho là mô tả các đợt gián đoạn dịch vụ dự kiến vào đầu tháng 11 năm 2025.

Thực thi Macro và Phân phối Tải trọng

Khi macro được kích hoạt, dropper sẽ tận dụng sự kiện Document_Open() để tự động giải mã dữ liệu Base64 được lưu trữ trong một trường biểu mẫu ẩn. Nội dung kết quả được ghi vào:

C:\Users\Public\ui.txt

Sau đó, tệp này được khởi chạy thông qua Windows API CreateProcessA, khởi tạo cửa hậu UDPGangster.

Thiết kế tàng hình: Chiến thuật kiên trì và chống phân tích

UDPGangster bảo mật sự hiện diện của nó trên máy chủ thông qua tính năng lưu trữ Windows Registry. Nó cũng tích hợp một loạt các kỹ thuật chống phân tích nhằm ngăn chặn môi trường ảo, hộp cát và giám sát pháp y. Các kỹ thuật này bao gồm:

  • Kiểm tra môi trường và ảo hóa
  • Kiểm tra để gỡ lỗi chủ động
  • Kiểm tra đặc điểm của CPU để tìm dấu hiệu của máy ảo
  • Xác định các hệ thống có RAM dưới 2 GB
  • Xác thực tiền tố địa chỉ MAC để phát hiện nhà cung cấp VM
  • Kiểm tra xem thiết bị có thuộc nhóm làm việc mặc định của Windows không
  • Quét các tiến trình như VBoxService.exe, VBoxTray.exe, vmware.exe và vmtoolsd.exe
  • Xem lại các mục nhập Registry để tìm mã định danh ảo hóa, bao gồm VBox, VMBox, QEMU, VIRTUAL, VIRTUALBOX, VMWARE và Xen
  • Tìm kiếm các tiện ích hộp cát hoặc gỡ lỗi đã biết
  • Xác định xem việc thực thi có diễn ra trong môi trường phân tích hay không

    • Chỉ khi các kiểm tra này được xóa, phần mềm độc hại mới bắt đầu đánh cắp dữ liệu hệ thống và giao tiếp với máy chủ bên ngoài tại cổng UDP 1269 trên địa chỉ 157.20.182[.]75. Thông qua kênh này, nó có thể chạy các lệnh shell thông qua cmd.exe, truyền tệp, cập nhật chi tiết cấu hình và triển khai các tải trọng tiếp theo.

    Khả năng hoạt động và trộm cắp dữ liệu

    Sau khi xác thực, phần mềm độc hại thu thập siêu dữ liệu hệ thống và gửi đến máy chủ C2 từ xa. Giao tiếp dựa trên UDP của nó cho phép kẻ tấn công tương tác với máy chủ bị nhiễm theo thời gian thực, chỉ thị cho máy chủ thực thi lệnh, nâng cấp cửa hậu hoặc thả thêm các mô-đun độc hại nếu cần. Cấu trúc này hỗ trợ cả hoạt động trinh sát và gián điệp dài hạn.

    Giảm thiểu và nâng cao nhận thức

    Do chuỗi lây nhiễm phụ thuộc vào các tài liệu lừa đảo được kích hoạt macro, nhận thức của người dùng vẫn là một biện pháp phòng thủ quan trọng. Cần hết sức thận trọng khi xử lý các tệp đính kèm đáng ngờ hoặc không mong muốn, đặc biệt là các tệp yêu cầu kích hoạt macro. Các tổ chức nên thực thi các hạn chế macro, triển khai các giải pháp giám sát hành vi và đào tạo người dùng nhận biết các chiến thuật lừa đảo có chủ đích.

    Các biện pháp phòng thủ được đề xuất

    • Hạn chế hoặc vô hiệu hóa macro trên toàn tổ chức.
    • Triển khai tính năng bảo vệ điểm cuối có khả năng phát hiện các chương trình thả mã độc dựa trên macro.
    • Theo dõi lưu lượng UDP đi bất thường.
    • Đánh dấu các nỗ lực liên lạc đến các cổng không xác định hoặc đáng ngờ.
    • Đào tạo nhân viên về các dấu hiệu lừa đảo có chủ đích.

    Bằng cách kết hợp các chiêu trò lừa đảo, thực thi macro lén lút và các phương pháp né tránh tiên tiến, chiến dịch UDPGangster của MuddyWater cho thấy sự tập trung mới vào việc truy cập bí mật và thu thập thông tin tình báo khu vực. Việc luôn cảnh giác trước các cuộc tấn công dựa trên tài liệu là điều cần thiết để ngăn chặn các mối đe dọa như vậy xâm nhập.

    xu hướng

    Xem nhiều nhất

    Phần mềm độc hại

    Lừa đảo, Thư rác
    30,646
    Thông báo lừa đảo 'Apple Pay Suspended' là một loại chiến thuật lừa đảo nhằm vào người dùng Apple Pay. Thông báo tuyên bố rằng ví Apple Pay của người dùng đã bị treo và khuyến khích họ nhấp vào liên kết để khôi phục ví. Tuy nhiên, nhấp vào liên kết sẽ đưa người dùng đến một trang web giả mạo được thiết kế để đánh cắp thông tin cá nhân và thông tin tài chính của họ. Nếu người dùng trở...
    Đang tải...