HackerNews 编译,转载请注明出处:
FortiGuard 实验室的报告显示,伊朗黑客组织 MuddyWater 近期启用了一款名为 UDPGangster 的新型后门程序,该后门通过用户数据报协议(UDP)实现命令与控制(C2)通信,且已针对土耳其、以色列和阿塞拜疆三国用户发起网络间谍活动。
安全研究员卡拉・林表示:“这款恶意软件可实现对受感染系统的远程控制,支持攻击者执行系统命令、窃取文件、投放额外恶意载荷,而所有通信均通过 UDP 信道完成,以此规避传统网络防御手段的检测。”
此次攻击的完整链路以鱼叉式钓鱼为初始入口:攻击者向目标发送携带恶意 Microsoft Word 文档的钓鱼邮件,一旦受害者启用文档宏,便会触发恶意载荷执行。部分钓鱼邮件还伪装成北塞浦路斯土耳其共和国外交部的官方信函,谎称邀请收件人参加一场名为 “总统选举及结果” 的线上研讨会。
钓鱼邮件中通常附带一个压缩包(“seminer.zip”)和一份 Word 文档(“seminer.doc”),压缩包内也包含相同的恶意 Word 文件。用户打开文件后会被诱导启用宏,进而触发内嵌 VBA 代码的隐秘执行。
该投放器文档中的 VBA 脚本还设置了伪装机制以掩盖恶意行为:它会展示一张希伯来语的诱饵图片,内容为以色列电信运营商 Bezeq 发布的 “2025 年 11 月第一周以色列多城网络断连通知”,以此迷惑受害者。
卡拉・林解释道:“该宏会通过 Document_Open () 事件实现自动运行,先解码隐藏表单域(UserForm1.bodf90.Text)中的 Base64 编码数据,并将解码内容写入路径 C:\Users\Public\ui.txt,随后调用 Windows API 接口 CreateProcessA 执行该文件,最终加载 UDPGangster 后门。”
UDPGangster 通过修改 Windows 注册表实现持久化驻留,同时内置多重反分析检测机制以抵御安全人员的逆向分析,具体包括:
- 检测自身进程是否被调试
- 分析 CPU 配置以识别沙箱或虚拟机环境
- 校验系统内存是否低于 2048MB
- 获取网卡信息,验证 MAC 地址前缀是否匹配已知虚拟机厂商列表
- 确认计算机是否加入域环境,而非处于默认 Windows 工作组
- 排查运行进程中是否存在 VBoxService.exe、VBoxTray.exe、vmware.exe、vmtoolsd.exe 等虚拟化工具
- 扫描注册表,检索 VBox、VMBox、QEMU、VMWARE 等虚拟化厂商特征标识
- 查找已知沙箱或调试工具进程
- 判断自身是否运行于分析环境
只有通过全部检测后,UDPGangster 才会开始收集系统信息,并通过 UDP 1269 端口连接外部 C2 服务器(157.20.182 [.] 75),执行数据窃取、cmd.exe 命令调用、文件传输、C2 服务器配置更新及额外恶意载荷投放等操作。
卡拉・林提醒:“UDPGangster 依赖宏投放器实现初始入侵,且集成了大量反分析逻辑来规避检测,用户及企业需警惕来路不明的文档,尤其是要求启用宏的文件。”
值得注意的是,就在此次攻击披露数天前,ESET 曾发布报告称,该组织还针对以色列的学术界、工程领域、地方政府、制造业、科技、交通及公用事业等行业发起攻击,并投放了另一款名为 MuddyViper 的后门程序。
消息来源:thehackernews;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
