Il gruppo di hacking iraniano MuddyWater utilizza un nuovo backdoor chiamato UDPGangster

Il gruppo di hacking iraniano noto come MuddyWater è stato osservato mentre utilizza un nuovo backdoor chiamato UDPGangster che utilizza il protocollo User Datagram (UDP) per scopi di comando e controllo (C2). L’attività di spionaggio informatico ha preso di mira utenti in Turchia, Israele e Azerbaigian, secondo un rapporto di Fortinet FortiGuard Labs. Questo malware consente il controllo remoto di sistemi compromessi, permettendo agli attaccanti di eseguire comandi, esfiltrare file e distribuire payload aggiuntivi, tutto comunicato attraverso canali UDP progettati per evitare le difese di rete tradizionali.

L’attacco coinvolge l’uso di tattiche di spear-phishing per distribuire documenti Microsoft Word dannosi che attivano l’esecuzione di un payload dannoso una volta abilitate le macro. Alcuni dei messaggi di phishing imitano il Ministero degli Affari Esteri della Repubblica Turca di Cipro del Nord e fingono di invitare i destinatari a un seminario online intitolato “Elezioni presidenziali e risultati”. Il file ZIP allegato contiene un documento Word che, una volta aperto, chiede all’utente di abilitare le macro per eseguire il codice VBA nascosto.

Il payload UDPGangster stabilisce la persistenza attraverso le modifiche al Registro di sistema di Windows e vanta diverse verifiche anti-analisi per resistere agli sforzi dei ricercatori di sicurezza di smontarlo. Una volta superate queste verifiche, UDPGangster raccoglie informazioni sul sistema e si connette a un server esterno per esfiltrare i dati raccolti, eseguire comandi e trasmettere file. Gli utenti e le organizzazioni dovrebbero rimanere cauti nei confronti di documenti non richiesti, in particolare quelli che richiedono l’attivazione delle macro.