Группировка MuddyWater использует усовершенствованный бэкдор UDPGangster в целевых атаках на Ближнем Востоке

Исследователи из FortiGuard Labs обнаружили серию новых кибератак, нацеленных на организации в Турции, Израиле и Азербайджане. Злоумышленники используют усовершенствованный бэкдор под названием UDPGangster, который связывают с иранской группировкой MuddyWater, известной своей шпионской деятельностью в регионе. Особенностью угрозы является использование UDP-каналов для управления скомпрометированными системами, что помогает обходить традиционные средства сетевой защиты, такие как межсетевые экраны и системы обнаружения вторжений (IDS).

Описание

Атаки начинаются с фишинговых писем, которые маскируются под официальные сообщения. В частности, в кампании, нацеленной на Турцию, злоумышленники выдавали себя за Министерство иностранных дел Турецкой Республики Северного Кипра. Письмо содержало приглашение на онлайн-семинар и два вложения: документ "seminer.doc" и ZIP-архив с тем же файлом. Сообщение было составлено на формальном турецком языке, что повышало его убедительность.

При открытии документа пользователю предлагается «Включить содержимое» для корректного отображения. Это стандартный трюк для активации вредоносных макросов VBA, встроенных в файл. Макрос автоматически запускается через событие "Document_Open()". Он декодирует данные в формате Base64 из скрытого поля документа и записывает расшифрованный исполняемый файл на диск по пути "C:\Users\Public\ui.txt". После этого с помощью Windows API "CreateProcessA" запускается основная вредоносная нагрузка (payload) - бэкдор UDPGangster.

Для отвлечения внимания жертвы в документе используется техника отображения изображения-приманки. Интересно, что в турецком письме было встроено изображение, связанное с графиком отключений интернета в Израиле. Этот несоответствующий контексту элемент позже помог исследователям связать несколько разных кампаний. Анализ показал, что аналогичные документы с макросами, но с другими изображениями-приманками, использовались для атак на пользователей в Израиле и Азербайджане в августе и сентябре 2025 года.

После успешного выполнения макроса UDPGangster внедряется в систему. Для обеспечения постоянного присутствия (persistence) он копирует себя в папку "%AppData%\RoamingLow" под именем "SystemProc.exe" и прописывает путь к этому файлу в ключ реестра "HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell". Также создается мьютекс с именем "xhxhxhxhxhxpp".

Одной из ключевых особенностей данного вредоносного ПО является набор сложных методов противодействия анализу. UDPGangster выполняет серию проверок, чтобы определить, запущен ли он в виртуальной среде, песочнице (sandbox) или под отладчиком. Во-первых, он проверяет наличие отладчика. Затем анализирует конфигурацию системы: количество ядер процессора (избегает систем с одним ядром), объем оперативной памяти (ищет менее 2 ГБ) и размер диска.

Далее, вредоносная программа проверяет MAC-адреса сетевых адаптеров на соответствие префиксам, характерным для виртуальных машин, таких как VMware, VirtualBox, Parallels и Xen. Также проводится проверка, является ли компьютер частью рабочей группы по умолчанию, что часто встречается в лабораторных условиях, а не в корпоративном домене.

UDPGangster активно использует WMI для запроса информации об оборудовании, дисках и системе, сканируя результаты на предмет ключевых слов виртуализации. Он перечисляет системные службы и запущенные процессы, чтобы обнаружить инструменты гостевых ОС, такие как "VBoxService.exe" или "vmtoolsd.exe". Дополнительно проводится глубокое сканирование реестра Windows по 16 различным путям в поисках упоминаний виртуальных сред.

Для обнаружения песочниц бэкдор ищет в памяти определенные DLL-библиотеки, например, "sbiedll.dll", и проверяет реестр на наличие записей, содержащих подстроки вроде "sandbox". Также анализируется имя запущенного исполняемого файла, чтобы исключить очевидные имена, такие как "sample.exe" или "malware.exe".

Если все проверки пройдены и среда считается «живой», UDPGangster приступает к сбору системной информации: имени компьютера, домена, версии ОС и имени пользователя. Эти данные кодируются с помощью алгоритма на основе циклического сдвига вправо (ROR) и отправляются на командный сервер (C2) по UDP на порт 1269. В ходе расследования был идентифицирован один из таких серверов - "157.20.182[.]75".

Бэкдор поддерживает набор команд для удаленного управления. К ним относятся выполнение произвольных команд через "cmd.exe", извлечение файлов с зараженного хоста, запуск дополнительных вредоносных модулей и обновление адреса командного сервера. Также реализована команда для поддержания связи (heartbeat).

Расследование выявило связь между различными кампаниями через общие индикаторы компрометации (IoC), такие как значения мьютексов, пути отладочной информации (PDB) и IP-адреса. Анализ пути PDB одного из образцов ("C:\Users\gangster\source\repos\udp_3.0 - Copy - Copy\x64\release_86\udp_3.0.pdb") дал бэкдору его название. Более того, была обнаружена связь между инфраструктурой UDPGangster и другим инструментом MuddyWater - Phoenix Backdoor, что дополнительно подтверждает происхождение угрозы.

Эти атаки демонстрируют, что группировка MuddyWater продолжает совершенствовать свой арсенал, используя социальную инженерию, сложные методы доставки и вредоносное ПО с мощными механизмами уклонения от обнаружения. Для защиты эксперты рекомендуют проявлять крайнюю осторожность при получении непрошенных документов, особенно тех, что требуют включения макросов. Критически важными мерами являются усиленная фильтрация электронной почты и использование современных решений для защиты конечных точек, способных детектировать подобные сложные угрозы.