MuddyWater triển khai UDPGangster Backdoor nhắm vào Thổ Nhĩ Kỳ-Israel-Azerbaijan

[T-X]

Nhóm tin tặc Iran có tên MuddyWater đã bị phát hiện đang sử dụng một cửa hậu mới có tên UDPGangster, sử dụng Giao thức dữ liệu người dùng (UDP) cho mục đích chỉ huy và kiểm soát (C2).

Theo báo cáo từ Fortinet FortiGuard Labs, hoạt động gián điệp mạng nhắm vào người dùng ở Thổ Nhĩ Kỳ, Israel và Azerbaijan.

Nhà nghiên cứu bảo mật Cara Lin cho biết : "Phần mềm độc hại này cho phép điều khiển từ xa các hệ thống bị xâm phạm bằng cách cho phép kẻ tấn công thực thi lệnh, đánh cắp tệp và triển khai các phần mềm bổ sung - tất cả đều được truyền thông qua các kênh UDP được thiết kế để tránh các biện pháp phòng thủ mạng truyền thống".

Chuỗi tấn công này bao gồm việc sử dụng các chiến thuật lừa đảo trực tuyến để phát tán các tài liệu Microsoft Word chứa bẫy, kích hoạt việc thực thi một phần mềm độc hại khi macro được bật. Một số tin nhắn lừa đảo mạo danh Bộ Ngoại giao Cộng hòa Thổ Nhĩ Kỳ Bắc Síp và giả vờ mời người nhận tham dự một hội thảo trực tuyến có tiêu đề "Bầu cử Tổng thống và Kết quả".

Đính kèm với email là một tệp ZIP ("seminer.zip") và một tài liệu Word ("seminer.doc"). Tệp ZIP cũng chứa cùng một tệp Word, khi mở ra, người dùng được yêu cầu bật macro để thực thi mã VBA nhúng một cách bí mật.

Về phần mình, tập lệnh VBA trong tệp dropper được trang bị để che giấu mọi dấu hiệu hoạt động độc hại bằng cách hiển thị hình ảnh giả bằng tiếng Do Thái từ nhà cung cấp dịch vụ viễn thông Bezeq của Israel về thời gian ngắt kết nối dự kiến vào tuần đầu tiên của tháng 11 năm 2025 trên nhiều thành phố khác nhau trong cả nước.

"Macro sử dụng sự kiện Document_Open() để tự động thực thi, giải mã dữ liệu được mã hóa Base64 từ một trường biểu mẫu ẩn (UserForm1.bodf90.Text) và ghi nội dung đã giải mã vào C:\Users\Public\ui.txt", Lin giải thích. "Sau đó, nó thực thi tệp này bằng API Windows CreateProcessA, khởi chạy payload UDPGangster."

UDPGangster thiết lập tính bền bỉ thông qua các sửa đổi Windows Registry và tự hào có nhiều biện pháp kiểm tra chống phân tích để chống lại các nỗ lực của các nhà nghiên cứu bảo mật nhằm phân tích nó. Điều này bao gồm:

    Xác minh xem quy trình có đang được gỡ lỗi không
    Phân tích cấu hình CPU cho hộp cát hoặc máy ảo
    Xác định xem hệ thống có ít hơn 2048 MB RAM không
    Truy xuất thông tin bộ điều hợp mạng để xác thực xem tiền tố địa chỉ MAC có khớp với danh sách các nhà cung cấp máy ảo đã biết hay không
    Xác thực xem máy tính có phải là một phần của nhóm làm việc Windows mặc định hay không chứ không phải là một miền đã tham gia
    Kiểm tra các quy trình đang chạy để tìm các công cụ như VBoxService.exe, VBoxTray.exe, vmware.exe và vmtoolsd.exe
    Chạy quét Registry để tìm kiếm các kết quả khớp với mã định danh nhà cung cấp ảo hóa đã biết, chẳng hạn như VBox, VMBox, QEMU, VIRTUAL, VIRTUALBOX, VMWARE và Xen
    Tìm kiếm các công cụ hộp cát hoặc gỡ lỗi đã biết và
    Xác định xem tệp có đang chạy trong môi trường phân tích hay không

Chỉ sau khi các kiểm tra này được đáp ứng, UDPGangster mới tiến hành thu thập thông tin hệ thống và kết nối với máy chủ bên ngoài ("157.20.182[.]75") qua cổng UDP 1269 để đánh cắp dữ liệu đã thu thập, chạy lệnh bằng "cmd.exe", truyền tệp, cập nhật máy chủ C2, cũng như thả và thực thi các tải trọng bổ sung.

"UDPGangster sử dụng các dropper dựa trên macro để truy cập ban đầu và tích hợp các thủ thuật chống phân tích mở rộng để tránh bị phát hiện", Lin nói. "Người dùng và tổ chức nên thận trọng với các tài liệu không được yêu cầu, đặc biệt là những tài liệu yêu cầu kích hoạt macro."

Sự phát triển này diễn ra vài ngày sau khi ESET xác định tác nhân đe dọa này gây ra các cuộc tấn công trên nhiều lĩnh vực học thuật, kỹ thuật, chính quyền địa phương, sản xuất, công nghệ, giao thông vận tải và tiện ích ở Israel, trong đó có một loại mã độc khác có tên là MuddyViper.