Một mối đe dọa mạng tinh vi đã xuất hiện, nhắm mục tiêu vào các hệ thống Windows trên nhiều quốc gia ở Trung Đông. Đây là mã độc UDPGangster, một backdoor dựa trên giao thức UDP, đại diện cho vũ khí mới trong kho công cụ của nhóm đe dọa MuddyWater.

Nhóm MuddyWater nổi tiếng với các chiến dịch gián điệp mạng trên khắp Trung Đông và các khu vực lân cận. UDPGangster cho phép kẻ tấn công kiểm soát từ xa hoàn toàn các máy bị xâm nhập, thực thi lệnh, đánh cắp tệp và triển khai phần mềm độc hại bổ sung qua các kênh UDP.

Tổng quan về Chiến dịch MuddyWater và mã độc UDPGangster

UDPGangster được thiết kế đặc biệt để vượt qua các biện pháp bảo mật mạng truyền thống, sử dụng giao thức UDP để duy trì giao tiếp C2 (Command-and-Control). Hoạt động của backdoor này ngày càng gia tăng, với nhiều chiến dịch tấn công mạng đã được xác định.

Các quốc gia bị nhắm mục tiêu bao gồm Thổ Nhĩ Kỳ, Israel và Azerbaijan. Những hoạt động này cho thấy một phương pháp tiếp cận phối hợp, sử dụng tài liệu Microsoft Word độc hại có chứa macro nguy hiểm làm phương thức lây nhiễm chính.

Phân phối ban đầu và Kỹ thuật Social Engineering

Khi nạn nhân kích hoạt các macro, backdoor sẽ tự động cài đặt trên hệ thống của họ. Điều này cấp cho kẻ tấn công quyền truy cập chưa từng có vào thông tin nhạy cảm và cơ sở hạ tầng quan trọng.

Các cuộc tấn công mạng này sử dụng các chiến thuật social engineering tinh vi, với email lừa đảo (phishing) giả mạo các tổ chức chính phủ. Một chiến dịch cụ thể đã giả danh Bộ Ngoại giao Cộng hòa Bắc Síp Thổ Nhĩ Kỳ, mời người nhận tham gia hội thảo trực tuyến về bầu cử tổng thống.

Các tài liệu mồi nhử chứa thông tin tưởng chừng vô hại, được thiết kế để đánh lạc hướng người dùng trong khi mã độc được thực thi ngầm. Các nhà phân tích bảo mật của Fortinet đã xác định và nghiên cứu nhiều chiến dịch UDPGangster, ghi nhận các khả năng chống phân tích sâu rộng được tích hợp trong mã độc UDPGangster. Xem chi tiết tại Fortinet Blog.

Cơ chế lây nhiễm và Duy trì quyền truy cập

Quá trình lây nhiễm bắt đầu khi nạn nhân nhận được email lừa đảo chứa tài liệu Microsoft Word có nhúng macro VBA. Khi mở và kích hoạt macro, sự kiện Document_Open() sẽ tự động kích hoạt.

Chuỗi lây nhiễm ban đầu của mã độc UDPGangster

Sự kiện này khởi động một chuỗi các sự kiện dẫn đến việc cài đặt backdoor. Quá trình lây nhiễm kỹ thuật khá đơn giản nhưng hiệu quả. Macro sẽ giải mã dữ liệu được mã hóa Base64 từ một trường biểu mẫu ẩn và ghi vào đường dẫn sau:

C:UsersPublicui.txt

Sau đó, mã độc thực thi tệp này bằng cách sử dụng các hàm API của Windows, cụ thể là CreateProcessA. Hàm này trực tiếp khởi chạy payload của UDPGangster vào bộ nhớ hệ thống.

Cơ chế duy trì quyền truy cập (Persistence)

UDPGangster thiết lập cơ chế duy trì quyền truy cập bằng cách sao chép chính nó vào thư mục %AppData%RoamingLow dưới tên SystemProc.exe. Sau đó, nó sửa đổi Registry của Windows.

Bằng cách thêm đường dẫn của mã độc vào khóa HKCUSOFTWAREMicrosoftWindowsCurrentVersionExplorerUser Shell Folders dưới giá trị Startup. Điều này đảm bảo backdoor tự động chạy mỗi khi nạn nhân khởi động lại máy tính của họ.

Ví dụ về lệnh CLI mô phỏng việc thiết lập persistence:

copy UDPGangster.exe %AppData%RoamingLowSystemProc.exe
reg add HKCUSOFTWAREMicrosoftWindowsCurrentVersionExplorerUser Shell Folders /v Startup /t REG_SZ /d "%AppData%RoamingLowSystemProc.exe" /f

Khả năng chống phân tích và Né tránh phát hiện

Mã độc UDPGangster tích hợp chín kỹ thuật chống phân tích riêng biệt. Những kỹ thuật này được thiết kế để phát hiện và né tránh môi trường ảo, sandbox và các công cụ phân tích bảo mật, giúp kẻ tấn công tránh bị phát hiện sớm bởi các nhà nghiên cứu bảo mật và hệ thống tự động.

Các kỹ thuật chống phân tích nâng cao

Các khả năng chống phân tích này bao gồm:

• Phát hiện debugger: Xác định sự hiện diện của các trình gỡ lỗi.
• Kiểm tra môi trường CPU: Tìm kiếm cấu hình lõi đơn phổ biến trong máy ảo.
• Xác minh kích thước bộ nhớ và ổ đĩa: Kiểm tra các giá trị không điển hình cho hệ thống thực.
• Phân tích địa chỉ MAC adapter ảo: Nhận diện các địa chỉ MAC của card mạng ảo.
• Kiểm tra phần cứng qua truy vấn WMI: Phát hiện các dấu hiệu của môi trường ảo hóa.
• Quét quy trình: Tìm kiếm các công cụ ảo hóa đang chạy.
• Kiểm tra registry mở rộng: Phát hiện các khóa registry liên quan đến môi trường ảo.
• Phát hiện công cụ sandbox: Xác định sự hiện diện của các công cụ sandbox.
• Xác minh tên tệp: So sánh tên tệp với các môi trường thử nghiệm đã biết.

Những kỹ thuật này làm phức tạp quá trình phát hiện xâm nhập và phân tích hành vi của mã độc UDPGangster.

Giao tiếp Command-and-Control (C2) và Thu thập thông tin

Sau khi vượt qua các kiểm tra chống phân tích, UDPGangster thu thập chi tiết hệ thống như tên máy tính, thông tin miền và phiên bản hệ điều hành. Dữ liệu này sau đó được mã hóa bằng cách sử dụng phép biến đổi dựa trên ROR (Rotate Right).

Thông tin đã mã hóa được gửi đến máy chủ Command-and-Control (C2) thông qua giao thức UDP. Giao tiếp này duy trì kênh kết nối mà các hệ thống giám sát mạng tiêu chuẩn thường bỏ qua, giúp mối đe dọa mạng này hoạt động ẩn danh.

Các Chỉ số Thỏa hiệp (IOCs)

Để hỗ trợ phát hiện xâm nhập và ứng phó, các chỉ số thỏa hiệp (IOCs) sau đây cần được theo dõi:

• Tên mã độc: UDPGangster
• Nhóm đe dọa: MuddyWater
• Đường dẫn tệp lây nhiễm ban đầu:C:UsersPublicui.txt
• Đường dẫn duy trì quyền truy cập:%AppData%RoamingLowSystemProc.exe
• Khóa Registry sửa đổi:HKCUSOFTWAREMicrosoftWindowsCurrentVersionExplorerUser Shell Folders (Giá trị: Startup)
• Địa chỉ IP máy chủ C2:157.20.182.75
• Cổng giao tiếp C2:UDP/1269
• Phương thức lây nhiễm: Tài liệu Microsoft Word độc hại chứa macro VBA.
• Kỹ thuật Social Engineering: Email lừa đảo giả mạo các thực thể chính phủ.