Er is waargenomen dat de Iraanse hackgroep MuddyWater gebruik maakt van een nieuwe achterdeur genaamd UDP Gangster dat het User Datagram Protocol (UDP) gebruikt voor command-and-control (C2) doeleinden.
Volgens een rapport van Fortinet FortiGuard Labs was de cyberspionageactiviteit gericht op gebruikers in Turkije, Israël en Azerbeidzjan.
“Deze malware maakt controle op afstand van gecompromitteerde systemen mogelijk door aanvallers opdrachten uit te laten voeren, bestanden te exfiltreren en extra payloads in te zetten – allemaal gecommuniceerd via UDP-kanalen die zijn ontworpen om traditionele netwerkverdedigingen te omzeilen”, aldus beveiligingsonderzoeker Cara Lin.
De aanvalsketen omvat het gebruik van spearphishing-tactieken om in boobytraps gevangen Microsoft Word-documenten te verspreiden die de uitvoering van een kwaadaardige lading activeren zodra macro’s zijn ingeschakeld. Sommige van de phishing-berichten doen zich voor als het Ministerie van Buitenlandse Zaken van de Turkse Republiek Noord-Cyprus en beweren ontvangers uit te nodigen voor een online seminar met de titel ‘Presidentiële verkiezingen en resultaten’.
Bij de e-mails zijn een ZIP-bestand (“seminer.zip”) en een Word-document (“seminer.doc”) bijgevoegd. Het ZIP-bestand bevat ook hetzelfde Word-bestand, waarin gebruikers wordt gevraagd macro’s in te schakelen om heimelijk ingebedde VBA-code uit te voeren.
Het VBA-script in het dropper-bestand is op zijn beurt uitgerust om elk teken van kwaadaardige activiteit te verbergen door een Hebreeuws-talige lokafbeelding van de Israëlische telecommunicatieprovider Bezeq weer te geven over veronderstelde periodes van verbroken verbinding in de eerste week van november 2025 in verschillende steden in het land.
“De macro gebruikt de Document_Open()-gebeurtenis om automatisch Base64-gecodeerde gegevens uit een verborgen formulierveld (UserForm1.bodf90.Text) te decoderen en de gedecodeerde inhoud naar C:UsersPublicui.txt te schrijven”, legt Lin uit. “Vervolgens voert het dit bestand uit met behulp van de Windows API CreateProcessA, waardoor de UDPGangster-payload wordt gestart.”
UDPGangster zorgt voor volharding door wijzigingen in het Windows-register en beschikt over verschillende anti-analysecontroles om weerstand te bieden aan pogingen van beveiligingsonderzoekers om het uit elkaar te halen. Dit omvat –
- Controleren of er fouten in het proces worden opgespoord
- Analyseren van CPU-configuraties voor sandboxes of virtuele machines
- Bepalen of het systeem minder dan 2048 MB RAM heeft
- Netwerkadapterinformatie ophalen om te valideren of het MAC-adresvoorvoegsel overeenkomt met een lijst met bekende leveranciers van virtuele machines
- Valideren of de computer deel uitmaakt van de standaard Windows-werkgroep in plaats van een aangesloten domein
- Lopende processen onderzoeken voor tools als VBoxService.exe, VBoxTray.exe, vmware.exe en vmtoolsd.exe
- Registerscans uitvoeren om te zoeken naar overeenkomsten met bekende ID’s van virtualisatieleveranciers, zoals VBox, VMBox, QEMU, VIRTUAL, VIRTUALBOX, VMWARE en Xen
- Zoeken naar bekende tools voor sandboxing of foutopsporing, en
- Vaststellen of het bestand in een analyseomgeving draait
Pas nadat aan deze controles is voldaan, gaat UDPGangster verder met het verzamelen van systeeminformatie en maakt verbinding met een externe server (“157.20.182(.)75”) via UDP-poort 1269 om de verzamelde gegevens te exfiltreren, opdrachten uit te voeren met behulp van “cmd.exe”, bestanden te verzenden, de C2-server bij te werken en extra payloads te verwijderen en uit te voeren.
“UDPGangster maakt gebruik van op macro’s gebaseerde droppers voor initiële toegang en bevat uitgebreide anti-analyseroutines om detectie te omzeilen,” zei Lin. “Gebruikers en organisaties moeten voorzichtig blijven met ongevraagde documenten, vooral documenten die om macro-activering vragen.”
De ontwikkeling komt dagen nadat ESET de dreigingsactor heeft toegeschreven aan aanvallen in de academische wereld, de techniek, de lokale overheid, de productie-, technologie-, transport- en nutssectoren in Israël, die een nieuwe achterdeur opleverden die MuddyViper wordt genoemd.
