UDPGangster уже в вашей сети — иранская MuddyWater превратила уязвимость протокола в искусство взлома

leer en español

MuddyWater UDPGangster Fortinet ESET макросы кибершпионаж Ближний Восток
UDPGangster уже в вашей сети — иранская MuddyWater превратила уязвимость протокола в искусство взлома
MuddyWater UDPGangster Fortinet ESET макросы кибершпионаж Ближний Восток

Компании из трёх стран месяцами не замечали, что их системы передают конфиденциальные данные на внешние серверы.

image

Иранская группировка MuddyWater активизировала кибершпионскую деятельность, используя новую вредоносную программу UDPGangster. По данным Fortinet FortiGuard Labs, атаки пришлись на Турцию, Израиль и Азербайджан. Целью кампании стало скрытное управление заражёнными системами через протокол UDP, что помогало обходить защитные механизмы корпоративных сетей.

Для проникновения применялась рассылка писем с поддельными документами Microsoft Word. В некоторых сообщениях злоумышленники представлялись Министерством иностранных дел Турецкой Республики Северного Кипра и ссылались на несуществующий онлайн-семинар о президентских выборах. Вложения включали архив и отдельный Word-файл, побуждающий включить макросы. После активации выполнялся скрытый сценарий, маскирующий вредоносную активность под изображение на иврите от израильского оператора связи Bezeq о якобы планируемых отключениях связи.

Сценарий автоматически запускался при открытии документа, декодировал скрытые данные и сохранял их в системной директории, после чего инициировал выполнение основного компонента UDPGangster. Этот инструмент закреплялся в системе через изменение параметров Реестра и проводил серию проверок, чтобы избежать анализа. Вредоносная программа изучала конфигурацию процессора, объём оперативной памяти, параметры сетевых адаптеров, принадлежность компьютера к рабочей группе, а также наличие признаков виртуальных машин и отладчиков. Только убедившись, что среда безопасна для запуска, она переходила к сбору системных сведений.

После проверки UDPGangster связывался с удалённым сервером по UDP-каналу на порту 1269. Через это соединение передавались полученные данные, запускались системные команды, выгружались файлы и загружались дополнительные компоненты. По словам специалистов Fortinet, использование макросов и выбор UDP в качестве канала управления стали ключевыми элементами, позволяющими вредоносной программе долго оставаться незамеченной.

Сообщается также, что незадолго до этой кампании компания ESET связала деятельность MuddyWater с атаками на израильские организации разных отраслей, где применялся другой вредоносный инструмент под названием MuddyViper.