Orta Doğu’daki birçok ülkede Windows sistemlerini hedef alan karmaşık bir siber tehdit ortaya çıktı.
UDP tabanlı bir arka kapı olan UDPGangster, Orta Doğu ve komşu bölgelerde siber casusluk operasyonları yürütmesiyle tanınan MuddyWater tehdit grubunun cephaneliğindeki tehlikeli yeni bir silahı temsil ediyor.
Bu kötü amaçlı yazılım, saldırganlara, güvenliği ihlal edilmiş makineler üzerinde tam bir uzaktan kontrol sağlayarak, geleneksel ağ güvenliği önlemlerini aşmak için kasıtlı olarak tasarlanmış UDP kanalları aracılığıyla komutları yürütmelerine, dosyaları çalmalarına ve ek kötü amaçlı yazılımlar dağıtmalarına olanak tanır.
Tehdit, Türkiye, İsrail ve Azerbaycan’daki kullanıcıları hedef alan çok sayıda saldırı kampanyasıyla giderek daha aktif görünüyor.
.webp)
Bu operasyonlar, birincil dağıtım yöntemi olarak tehlikeli makrolar içeren kötü amaçlı Microsoft Word belgelerini kullanan koordineli bir yaklaşımı göstermektedir.
Kurbanlar bu makroları etkinleştirdiğinde, arka kapı sistemlerine sessizce kurularak saldırganlara hassas bilgilere ve kritik altyapıya benzeri görülmemiş bir erişim sağlar.
Saldırılarda, devlet kurumlarının kimliğine bürünen kimlik avı e-postaları gibi karmaşık sosyal mühendislik taktikleri kullanılıyor.
.webp)
Özellikle, alıcıları cumhurbaşkanlığı seçimleriyle ilgili çevrimiçi bir seminere davet eden, Kuzey Kıbrıs Türk Cumhuriyeti Dışişleri Bakanlığı’na ait olduğu iddia edilen bir kampanya.
Sahte belgeler, arka planda kötü amaçlı kod yürütülürken kullanıcıların dikkatini dağıtmak için tasarlanmış zararsız görünen bilgiler içeriyor.
Fortinet güvenlik analistleri birden fazla UDPGangster kampanyasını tespit edip inceledi ve kötü amaçlı yazılımın kapsamlı anti-analiz özelliklerine sahip olduğunu fark etti.
.webp)
Bu örnekler, sanal ortamları, korumalı alanları ve güvenlik analiz araçlarını tespit etmek ve bunlardan kaçınmak için özel olarak tasarlanmış gelişmiş teknikleri içerir ve saldırganların, güvenlik araştırmacıları ve otomatik sistemler tarafından erken tespit edilmesini önlemesine yardımcı olur.
Enfeksiyon Mekanizması ve Analizden Kaçınma
Enfeksiyon, kurbanların gömülü VBA makroları içeren Microsoft Word belgelerini içeren kimlik avı e-postaları almasıyla başlıyor.
Makroları açıp etkinleştirdikten sonra Document_Open() olayı otomatik olarak tetiklenir ve arka kapıyı yükleyen bir olaylar zincirini başlatır.
Teknik enfeksiyon süreci basit ama etkilidir. Makro, gizli bir form alanından Base64 kodlu verilerin kodunu çözer ve bunu C:\Users\Public\ui.txt dosyasına yazar.
.webp)
Kötü amaçlı yazılım daha sonra bu dosyayı Windows API işlevlerini, özellikle de UDPGangster yükünü doğrudan sistem belleğine başlatan CreateProcessA’yı kullanarak çalıştırır.
UDPGangster, kendisini SystemProc.exe olarak %AppData%\RoamingLow dizinine kopyalayarak kalıcılık sağlar, ardından Başlangıç değeri altındaki HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders dizinine kötü amaçlı yazılım yolunu ekleyerek Windows kayıt defterini değiştirir.
Bu, kurban bilgisayarını yeniden başlattığında arka kapının otomatik olarak çalışmasını sağlar.
Kötü amaçlı yazılım, hata ayıklayıcı tespiti, sanal makinelerde yaygın olan tek çekirdekli yapılandırmalar için CPU ortam kontrolleri, bellek ve disk boyutu doğrulaması, sanal bağdaştırıcı MAC adresi analizi, WMI sorguları yoluyla donanım denetimi, sanallaştırma araçları için süreç taraması, kapsamlı kayıt defteri incelemesi, korumalı alan aracı tespiti ve bilinen test ortamlarına göre dosya adı doğrulaması dahil olmak üzere dokuz farklı anti-analiz tekniği içerir.
UDPGangster, güvenlik analizini atladıktan sonra bilgisayar adı, etki alanı bilgileri ve işletim sistemi sürümü gibi sistem ayrıntılarını toplar, bunları ROR tabanlı dönüşüm kullanarak kodlar ve bu verileri UDP bağlantı noktası 1269 üzerinden 157.20.182.75’teki komut ve kontrol sunucularına gönderir.
Bunu yaparken de standart ağ izlemenin genellikle kaçırdığı iletişimi sürdürürler.
Daha Fazla Anında Güncelleme Almak için Bizi Google Haberler, LinkedIn ve X’te Takip Edin, CSN’yi Google’da Tercih Edilen Kaynak olarak ayarlayın.
