Objavila sa sofistikovaná kybernetická hrozba zameraná na systémy Windows vo viacerých krajinách Blízkeho východu.
UDPGangster, zadné vrátka založené na UDP, predstavuje novú nebezpečnú zbraň v arzenáli skupiny hrozieb MuddyWater, ktorá je známa vykonávaním kybernetických špionážnych operácií na celom Blízkom východe a v susedných regiónoch.
Tento malvér poskytuje útočníkom úplnú vzdialenú kontrolu nad napadnutými strojmi, čo im umožňuje vykonávať príkazy, kradnúť súbory a nasadzovať ďalší škodlivý softvér prostredníctvom kanálov UDP, ktoré sú zámerne navrhnuté tak, aby prekonali tradičné bezpečnostné opatrenia siete.
Hrozba sa zdá byť čoraz aktívnejšia, pričom bolo identifikovaných viacero útočných kampaní zameraných na používateľov v Turecku, Izraeli a Azerbajdžane.
Nástražný dokument zameraný na Izrael (zdroj – Fortinet)
Tieto operácie demonštrujú koordinovaný prístup, pričom ako primárny spôsob doručenia sa používajú škodlivé dokumenty Microsoft Word vložené nebezpečnými makrami.
Keď obete povolia tieto makrá, zadné vrátka sa potichu nainštalujú do ich systémov, čo útočníkom poskytne bezprecedentný prístup k citlivým informáciám a kritickej infraštruktúre.
Útoky využívajú sofistikované taktiky sociálneho inžinierstva, pričom phishingové e-maily sa vydávajú za vládne subjekty.
Phishingová pošta (zdroj – Fortinet)
Predovšetkým jedna kampaň tvrdila, že pochádza z Ministerstva zahraničných vecí Tureckej republiky Severného Cypru, ktorá pozýva príjemcov na online seminár o prezidentských voľbách.
Dokumenty s návnadou obsahujú neškodne vyzerajúce informácie navrhnuté tak, aby rozptyľovali používateľov, zatiaľ čo sa na pozadí spúšťa škodlivý kód.
Bezpečnostní analytici Fortinet identifikovali a študovali viaceré kampane UDPGangster, pričom zaznamenali rozsiahle antianalytické schopnosti zabudované do malvéru.
Dokument so skriptom VBA (zdroj – Fortinet)
Tieto vzorky obsahujú pokročilé techniky špeciálne navrhnuté na detekciu a obchádzanie virtuálnych prostredí, sandboxov a nástrojov na analýzu bezpečnosti, čo útočníkom pomáha vyhnúť sa skorému odhaleniu bezpečnostnými výskumníkmi a automatizovanými systémami.
Mechanizmus infekcie a únik z analýzy
Infekcia začína, keď obete dostanú phishingové e-maily obsahujúce dokumenty programu Microsoft Word s vloženými makrami VBA.
Po otvorení a povolení makier sa automaticky spustí udalosť Document_Open(), ktorá spustí reťazec udalostí, ktoré nainštalujú zadné vrátka.
Technický proces infekcie je jednoduchý, ale účinný. Makro dekóduje dáta zakódované v Base64 zo skrytého poľa formulára a zapíše ich do C:\Users\Public\ui.txt.
Nastavenie perzistencie (zdroj – Fortinet)
Malvér potom tento súbor spustí pomocou funkcií Windows API, konkrétne CreateProcessA, ktorý spustí užitočné zaťaženie UDPGangster priamo do systémovej pamäte.
UDPGangster vytvorí perzistenciu tak, že sa skopíruje do %AppData%\RoamingLow ako SystemProc.exe, potom upraví register Windows pridaním cesty škodlivého softvéru do priečinkov HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders pod hodnotou Startup.
To zaisťuje, že zadné vrátka sa automaticky spustia vždy, keď obeť reštartuje svoj počítač.
Malvér obsahuje deväť rôznych antianalytických techník vrátane detekcie ladiaceho nástroja, kontroly prostredia CPU na jednojadrové konfigurácie bežné vo virtuálnych strojoch, overenie veľkosti pamäte a disku, analýza MAC adries virtuálneho adaptéra, kontrola hardvéru prostredníctvom dotazov WMI, skenovanie procesov pre virtualizačné nástroje, rozsiahle preskúmanie registrov, detekcia nástrojov sandbox a overenie názvu súboru proti známym testovacím prostrediam.
Po obídení bezpečnostnej analýzy UDPGangster zhromažďuje podrobnosti o systéme, ako je názov počítača, informácie o doméne a verzia operačného systému, zakóduje ich pomocou transformácie založenej na ROR a odošle tieto údaje na príkazové a riadiace servery na 157.20.182.75 cez UDP port 1269.
Pritom to robia udržiavaním komunikácie, ktorá štandardnému monitorovaniu siete zvyčajne chýba.
Sledujte nás na Google News, LinkedIn a X a získajte ďalšie okamžité aktualizácie, nastavte CSN ako preferovaný zdroj v Google.
