Angebot für Mehrfachlizenz-Rabatt
Bedrohungsdatenbank Malware UDPGangster Hintertür

UDPGangster Hintertür

Von Mezo in Malware, Erweiterte, anhaltende Bedrohung (APT), Hintertür-Viren
Übersetzen Sie in:

Eine der iranisch-nahen Gruppe MuddyWater zugeschriebene Bedrohungskampagne hat die Installation einer neu identifizierten Hintertür namens UDPGangster aufgedeckt. Anders als herkömmliche Malware, die auf TCP-basierter Kommunikation beruht, nutzt dieses Tool das User Datagram Protocol (UDP) als Kommando- und Kontrollkanal, wodurch sein Datenverkehr für traditionelle Sicherheitslösungen schwerer zu erkennen ist. Nach der Aktivierung ermöglicht die Hintertür die vollständige Fernmanipulation kompromittierter Systeme und damit die Ausführung von Befehlen, den Diebstahl von Dateien und die Verbreitung weiterer Malware.

Regionale Zielauswahl und Spionagemotive

Forscher berichten, dass die Opfer hauptsächlich in der Türkei, Israel und Aserbaidschan identifiziert wurden. Die Art der Operation und ihr geografischer Fokus deuten auf gezielte Spionageaktivitäten hin, die darauf abzielen, Informationen zu sammeln und in sensiblen Gebieten Fuß zu fassen.

Phishing-Köder und schädliche Dokumente

Die Angreifer setzen vor allem auf Spear-Phishing, um in Netzwerke einzudringen. E-Mails, die den Anschein erweckten, vom Außenministerium der Türkischen Republik Nordzypern zu stammen, wurden an ahnungslose Empfänger verschickt und luden diese fälschlicherweise zu einem Online-Seminar mit dem Titel „Präsidentschaftswahlen und Ergebnisse“ ein.

Diesen E-Mails waren zwei identische Versionen des Schadprogramms beigefügt: ein ZIP-Archiv namens seminer.zip und eine Word-Datei mit dem Namen seminer.doc. Beim Öffnen fordert das Dokument den Benutzer auf, Makros zu aktivieren, wodurch die eingebettete Schadsoftware unbemerkt ausgeführt werden kann. Um die schädliche Aktivität zu verschleiern, zeigt das Makro ein hebräischsprachiges Täuschungsbild des israelischen Telekommunikationsanbieters Bezeq an, das angeblich geplante Serviceunterbrechungen Anfang November 2025 beschreibt.

Makroausführung und Nutzlastübermittlung

Sobald Makros aktiviert sind, nutzt der Dropper das Document_Open()-Ereignis, um automatisch Base64-Daten zu dekodieren, die in einem ausgeblendeten Formularfeld gespeichert sind. Der resultierende Inhalt wird geschrieben in:

C:\Users\Public\ui.txt

Anschließend wird diese Datei über die Windows-API CreateProcessA gestartet, wodurch die UDPGangster-Hintertür aktiviert wird.

Tarnung durch Design: Beharrlichkeit und Anti-Analyse-Taktiken

UDPGangster sichert seine Präsenz auf dem Host durch Persistenz in der Windows-Registrierung. Es beinhaltet zudem eine Vielzahl von Anti-Analyse-Techniken, die darauf abzielen, virtuelle Umgebungen, Sandboxes und forensische Untersuchungen zu verhindern. Dazu gehören:

  • Umgebungs- und Virtualisierungsprüfungen
  • Testen auf aktives Debugging
  • Überprüfung der CPU-Eigenschaften auf Anzeichen virtueller Maschinen
  • Systeme mit weniger als 2 GB RAM identifizieren
  • Validierung von MAC-Adresspräfixen zur Erkennung von VM-Anbietern
  • Überprüfen, ob das Gerät zur Standard-Windows-Arbeitsgruppe gehört
  • Suche nach Prozessen wie VBoxService.exe, VBoxTray.exe, vmware.exe und vmtoolsd.exe
  • Überprüfung der Registry-Einträge auf Virtualisierungskennungen, einschließlich VBox, VMBox, QEMU, VIRTUAL, VIRTUALBOX, VMWARE und Xen
  • Suche nach bekannten Sandboxing- oder Debugging-Tools
  • Feststellen, ob die Ausführung innerhalb einer Analyseumgebung stattfindet

Erst wenn diese Prüfungen erfolgreich abgeschlossen sind, beginnt die Malware mit der Exfiltration von Systemdaten und der Kommunikation mit ihrem externen Server über UDP-Port 1269 auf 157.20.182[.]75. Über diesen Kanal kann sie Shell-Befehle über cmd.exe ausführen, Dateien übertragen, Konfigurationsdetails aktualisieren und weitere Schadsoftware bereitstellen.

Betriebliche Fähigkeiten und Datendiebstahl

Nach der Validierung sammelt die Malware Systemmetadaten und sendet diese an den entfernten C2-Server. Die UDP-basierte Kommunikation ermöglicht es Angreifern, in Echtzeit mit dem infizierten Host zu interagieren und ihn anzuweisen, Befehle auszuführen, die Hintertür zu aktualisieren oder bei Bedarf weitere Schadmodule einzuspielen. Diese Struktur unterstützt sowohl Aufklärungs- als auch langfristige Spionageoperationen.

Minderung und Sensibilisierung

Da die Infektionskette auf Phishing-Dokumenten mit Makros basiert, ist die Sensibilisierung der Nutzer weiterhin eine entscheidende Schutzmaßnahme. Verdächtige oder unerwünschte Anhänge, insbesondere solche, die zur Makroaktivierung auffordern, sollten mit äußerster Vorsicht behandelt werden. Unternehmen sollten Makrobeschränkungen durchsetzen, Lösungen zur Verhaltensüberwachung implementieren und ihre Nutzer darin schulen, gezielte Phishing-Taktiken zu erkennen.

Empfohlene Verteidigungsmaßnahmen

  • Makros organisationsweit einschränken oder deaktivieren.
  • Setzen Sie einen Endpunktschutz ein, der Makro-basierte Dropper erkennen kann.
  • Auf ungewöhnlichen ausgehenden UDP-Datenverkehr achten.
  • Flaggenkommunikationsversuche zu unbekannten oder verdächtigen Ports.
  • Schulen Sie die Mitarbeiter hinsichtlich gezielter Phishing-Indikatoren.

Durch die Kombination von Täuschungsmanövern, unauffälliger Makroausführung und ausgefeilten Ausweichmethoden demonstriert die UDPGangster-Kampagne von MuddyWater einen erneuten Fokus auf verdeckten Zugriff und regionale Informationsbeschaffung. Wachsamkeit gegenüber dokumentenbasierten Angriffen ist unerlässlich, um zu verhindern, dass solche Bedrohungen Fuß fassen.

Im Trend

Am häufigsten gesehen

Wird geladen...