Nhóm tin tặc Iran được biết đến với tên MuddyWater đã bị phát hiện lợi dụng một backdoor mới có tên UDPGangster, sử dụng User Datagram Protocol (UDP) cho mục đích command-and-control (C2).
Hoạt động gián điệp mạng này nhắm mục tiêu vào người dùng ở Thổ Nhĩ Kỳ, Israel và Azerbaijan, theo báo cáo từ Fortinet FortiGuard Labs.
"Phần mềm độc hại này cho phép kiểm soát từ xa các hệ thống bị xâm nhập bằng cách cho phép kẻ tấn công thực thi các lệnh, đánh cắp tệp tin và triển khai các payload bổ sung – tất cả đều được truyền qua các kênh UDP được thiết kế để né tránh các biện pháp phòng thủ mạng truyền thống," nhà nghiên cứu bảo mật Cara Lin cho biết.
Chuỗi tấn công liên quan đến việc sử dụng các chiến thuật spear-phishing để phát tán các tài liệu Microsoft Word chứa mã độc, kích hoạt thực thi payload độc hại khi macro được bật. Một số tin nhắn lừa đảo mạo danh Bộ Ngoại giao Cộng hòa Thổ Nhĩ Kỳ Bắc Síp và mời người nhận tham gia hội thảo trực tuyến có tiêu đề "Presidential Elections and Results."
Kèm theo email là một tệp ZIP ("seminer.zip") và một tài liệu Word ("seminer.doc"). Tệp ZIP cũng chứa tệp Word tương tự, khi mở, người dùng sẽ được yêu cầu bật macro để âm thầm thực thi mã VBA được nhúng.
Về phần mình, tập lệnh VBA trong tệp dropper được trang bị để che giấu mọi dấu hiệu hoạt động độc hại bằng cách hiển thị một hình ảnh mồi nhử bằng tiếng Do Thái từ nhà cung cấp viễn thông Israel Bezeq về thời gian ngắt kết nối dự kiến vào tuần đầu tiên của tháng 11 năm 2025 trên nhiều thành phố khác nhau trong nước.
"Macro sử dụng sự kiện Document_Open() để tự động thực thi, giải mã dữ liệu được mã hóa Base64 từ một trường biểu mẫu ẩn (UserForm1.bodf90.Text) và ghi nội dung đã giải mã vào C:\Users\Public\ui.txt," Lin giải thích. "Sau đó, nó thực thi tệp này bằng cách sử dụng Windows API CreateProcessA, khởi chạy payload UDPGangster."
UDPGangster thiết lập tính bền bỉ thông qua các sửa đổi Windows Registry và tự hào với nhiều kiểm tra chống phân tích để chống lại những nỗ lực của các nhà nghiên cứu bảo mật nhằm tháo gỡ nó. Điều này bao gồm:
- Xác minh xem tiến trình có đang được debug hay không
- Phân tích cấu hình CPU cho sandboxes hoặc virtual machines
- Xác định xem hệ thống có ít hơn 2048 MB RAM hay không
- Truy xuất thông tin bộ điều hợp mạng để xác thực xem tiền tố MAC address có khớp với danh sách các nhà cung cấp virtual machine đã biết hay không
- Xác thực xem máy tính có phải là một phần của Windows workgroup mặc định thay vì một domain đã tham gia hay không
- Kiểm tra các tiến trình đang chạy để tìm các công cụ như VBoxService.exe, VBoxTray.exe, vmware.exe, và vmtoolsd.exe
- Chạy quét Registry để tìm kiếm các nhận dạng nhà cung cấp ảo hóa đã biết, chẳng hạn như VBox, VMBox, QEMU, VIRTUAL, VIRTUALBOX, VMWARE, và Xen
- Tìm kiếm các công cụ sandboxing hoặc debugging đã biết, và
- Xác định xem tệp có đang chạy trong môi trường phân tích hay không
Chỉ sau khi các kiểm tra này được thỏa mãn, UDPGangster mới tiến hành thu thập thông tin hệ thống và kết nối với một máy chủ bên ngoài ("157.20.182[.]75") qua cổng UDP 1269 để đánh cắp dữ liệu đã thu thập, chạy các lệnh bằng "cmd.exe", truyền tệp, cập nhật C2 server và thả cũng như thực thi các payload bổ sung.
"UDPGangster sử dụng các dropper dựa trên macro để truy cập ban đầu và kết hợp các quy trình chống phân tích mở rộng để né tránh việc bị phát hiện," Lin nói. "Người dùng và các tổ chức nên thận trọng với các tài liệu không mong muốn, đặc biệt là những tài liệu yêu cầu kích hoạt macro."
Sự phát triển này diễn ra vài ngày sau khi ESET quy kết tác nhân đe dọa này đã thực hiện các cuộc tấn công trải dài các lĩnh vực học thuật, kỹ thuật, chính quyền địa phương, sản xuất, công nghệ, vận tải và tiện ích ở Israel, phân phối một backdoor khác được gọi là MuddyViper.
