イランの脅威グループ MuddyWater は、UDPGangster として知られる新たな悪意あるプログラムを展開し、サイバー諜報活動を一段と強化している。Fortinet の FortiGuard Labs によると、この攻撃はトルコ、イスラエル、アゼルバイジャンを標的としていた。このキャンペーンでは、UDP プロトコルを介して侵害されたシステムに対する秘匿的な制御を確立しようとしており、この戦術によって攻撃者は企業ネットワーク防御を回避することに成功した。
初期侵入は、偽造された Microsoft Word 文書を添付したフィッシングメールによって行われた。複数のメールでは、攻撃者は北キプロス・トルコ共和国の外務省を装い、大統領選挙に関する架空のオンラインセミナーに言及していた。添付ファイルにはアーカイブと単体の Word ファイルが含まれており、受信者にマクロの有効化を促していた。マクロが有効化されると、埋め込まれたスクリプトがサイレントで実行され、その悪意ある活動を、イスラエルの通信事業者 Bezeq からのサービス障害に関するヘブライ語の通知に見せかけて偽装した。
このスクリプトは文書を開くと自動的に起動し、隠されたデータをデコードしてシステムディレクトリに保存した後、UDPGangster の中核コンポーネントの実行を開始した。このツールはレジストリパラメータを変更することで永続化を確立し、解析を回避するために一連の環境チェックを実施した。マルウェアは CPU 構成、RAM 容量、ネットワークアダプタの設定、システムのドメインまたはワークグループ、仮想マシンやデバッグツールの痕跡を調査した。環境が起動に適していると確認されて初めて、システム情報の収集に進んだ。
チェックが完了すると、UDPGangster は UDP チャネルを介してポート 1269 上でリモートサーバーに接続した。このリンクを通じて、収集したデータの送信、システムコマンドの実行、ファイルの持ち出し、追加ペイロードのダウンロードが行われた。Fortinet のアナリストによれば、マクロの使用と、コマンド&コントロールチャネルとして UDP を選択したことが、マルウェアが長期間にわたり検知を免れる上で極めて重要な要因となったという。
また、このキャンペーンの直前に、ESET は MuddyWater を、MuddyViper と呼ばれる別の悪意あるツールを用いて複数の分野にわたるイスラエルの組織を攻撃した事案に結び付けていたことも報告されている。
翻訳元: https://meterpreter.org/stealthy-spies-muddywater-deploys-udpgangster-to-evade-network-defenses/
