UDP黑幫後門

據稱與伊朗有關聯的駭客組織MuddyWater發起的威脅活動揭露了一種名為UDPGangster的新型後門程序的部署。與依賴TCP通訊的傳統惡意軟體不同，該工具使用用戶資料封包協定（UDP）作為其命令與控制通道，這使得傳統安全解決方案更難檢測到其流量。一旦激活，後門程式即可完全遠端操控受感染的系統，執行命令、竊取檔案並傳播其他惡意軟體。

區域性目標定位與間諜活動動機

研究人員報告稱，受害者主要來自土耳其、以色列和亞塞拜然。此次行動的性質及其地理重點表明，這是一次有針對性的間諜活動，旨在收集情報並在敏感環境中建立遠程據點。

網路釣魚誘餌和惡意文件

攻擊者大量使用魚叉式網路釣魚來滲透網路。他們向毫無戒心的收件人發送電子郵件，冒充北塞浦路斯土耳其共和國外交部，虛假邀請他們參加一個名為「總統選舉及結果」的線上研討會。

這些電子郵件附件中包含兩個相同的惡意文件：一個名為 seminer.zip 的 ZIP 壓縮檔案和一個名為 seminer.doc 的 Word 檔案。開啟後，該文件會提示使用者啟用巨集，從而允許其嵌入的有效載荷靜默運作。為了掩蓋惡意活動，宏會顯示一張來自以色列電信業者 Bezeq 的希伯來語誘餌圖片，圖片內容似乎是在描述 2025 年 11 月初計劃的服務中斷。

巨集執行和有效載荷交付

巨集啟動後，拖放器會利用 Document_Open() 事件自動解碼儲存在隱藏表單欄位中的 Base64 資料。解碼後的內容將會寫入：

C:\Users\Public\ui.txt

然後透過 Windows API CreateProcessA 啟動該文件，從而啟動 UDPGangster 後門。

隱蔽設計：持久性與反分析策略

UDPGangster 透過 Windows 登錄機碼持久化來確保其在主機上的存在。它還整合了多種反分析技術，旨在阻止虛擬環境、沙箱和取證審查。這些技術包括：

• 環境和虛擬化檢查
• 測試活動調試

只有當這些檢查通過後，惡意軟體才會開始竊取系統數據，並透過 UDP 連接埠 1269 與 157.20.182[.]75 上的外部伺服器通訊。透過此通道，它可以透過 cmd.exe 運行 shell 命令、傳輸檔案、更新配置詳細資訊以及部署後續有效載荷。

作戰能力和資料竊取

驗證完成後，惡意軟體會收集系統元資料並將其傳送到遠端C2伺服器。其基於UDP的通訊方式允許攻擊者與受感染主機即時交互，指示其執行命令、升級後門或根據需要投放其他惡意模組。這種架構支援偵察和長期間諜活動。

緩解和意識提升

由於感染鏈依賴於啟用巨集的釣魚文檔，因此提高使用者安全意識仍然是一項至關重要的防禦措施。對於可疑或未經請求的附件，尤其是那些誘導用戶啟動巨集的附件，應格外謹慎對待。各組織應強制執行巨集限制，部署行為監控解決方案，並訓練使用者辨識有針對性的釣魚攻擊手段。

建議的防禦措施

• 限製或停用組織內的巨集。
• 部署能夠偵測基於巨集的投放器的端點保護。
• 監控異常的出站UDP流量。
• 警告：嘗試向未知或可疑連接埠發送通訊。
• 對員工進行特定網路釣魚特徵的培訓。

MuddyWater 的 UDPGangster 攻擊活動結合了欺騙性誘餌、隱藏的宏執行和先進的規避方法，顯示其對秘密入侵和區域情報收集的重視程度有所提高。對基於文件的攻擊保持警惕，對於防止此類威脅站穩腳跟至關重要。