حمله جدید گروه هکری مادی‌واتر علیه اهداف رژیم صهیونیستی-آذربایجان-ترکیه

به گزارش کارگروه حملات سایبری سایبربان؛ کارشناسان ادعا کردند که گروه هکری مادی‌واتر (MuddyWater) از یک درب پشتی جدید به نام «UDPGangster» و پروتکل داده کاربر (UDP) برای اهداف فرماندهی و کنترل (C2) استفاده می‌کند.

طبق گزارش آزمایشگاه‌های فورتیگارد فورتینت (Fortinet)، این فعالیت جاسوسی سایبری کاربرانی را در ترکیه، سرزمین‌های اشغالی و آذربایجان هدف قرار داده است.

کارا لین (Cara Lin)، محقق امنیتی، گفت:

«این بدافزار با اجازه دادن به مهاجمان برای اجرای دستورات، استخراج فایل‌ها و استقرار بارهای اضافی، امکان کنترل از راه دور سیستم‌های آسیب‌دیده را فراهم می‌کند، همه این‌ها از طریق کانال‌های پروتکل داده کاربر منتقل می‌شوند که برای فرار از دفاع‌های سنتی شبکه طراحی شده‌اند.»

این زنجیره حمله شامل استفاده از تاکتیک‌های اسپیرفیشینگ برای توزیع اسناد مایکروسافت ورد تله‌گذاری شده که پس از فعال شدن ماکروها، باعث اجرای یک بار مخرب می‌شود. برخی پیام‌های فیشینگ، خود را به جای وزارت امور خارجه جمهوری ترکیه قبرس شمالی جا می‌زنند و ادعا می‌کنند که گیرندگان را به یک سمینار آنلاین با عنوان «انتخابات و نتایج ریاست جمهوری» دعوت می‌کنند.

همراه با ایمیل‌ها، یک فایل زیپ «seminer.zip» و یک سند ورد «seminer.doc» پیوست شده است. فایل زیپ همچنین حاوی همان فایل ورد است که با باز کردن آن از کاربران خواسته می‌شود ماکروهایی را فعال کنند تا به طور مخفیانه کد «VBA» جاسازی شده را اجرا کنند.

از طرف دیگر، اسکریپت VBA در فایل دراپر مجهز به پنهان کردن هرگونه نشانه‌ای از فعالیت مخرب است و یک تصویر فریبنده به زبان عبری از ارائه‌دهنده خدمات مخابراتی اسرائیلی بِزِک (Bezeq) در مورد دوره‌های قطع ارتباط فرضی در هفته اول نوامبر 2025 در شهرهای مختلف را نمایش می‌دهد.

لین توضیح داد:

«این ماکرو از رویداد Document_Open() برای اجرای خودکار، رمزگشایی داده‌های رمزگذاری شده «Base64» از یک فیلد فرم پنهان (UserForm1.bodf90.Text) و نوشتن محتوای رمزگشایی شده در C:\Users\Public\ui.txt استفاده می‌کند. سپس این فایل را با استفاده از «API CreateProcessA» ویندوز اجرا و بار داده «UDPGangster» را راه‌اندازی می‌کند.»

UDPGangster از طریق تغییرات رجیستری ویندوز، پایداری خود را حفظ و با ارائه بررسی‌های مختلف ضد تجزیه و تحلیل، در برابر تلاش‌های محققان امنیتی برای از بین بردن آن مقاومت می‌کند. این شامل موارد زیر است:

• تأیید اینکه آیا فرآیند در حال اشکال‌زدایی است
• تجزیه و تحلیل پیکربندی‌های CPU برای sandboxها یا ماشین‌های مجازی
• تعیین اینکه آیا سیستم کمتر از 2048 مگابایت رم دارد
• بازیابی اطلاعات آداپتور شبکه برای تأیید اینکه آیا پیشوند آدرس MAC با لیستی از فروشندگان شناخته شده ماشین مجازی مطابقت دارد یا خیر
• تأیید اینکه آیا رایانه بخشی از گروه کاری پیش‌فرض ویندوز است یا یک دامنه متصل
• بررسی فرآیندهای در حال اجرا برای ابزارهایی مانند VBoxService.exe، VBoxTray.exe، vmware.exe و vmtoolsd.exe
• اجرای اسکن‌های رجیستری برای جستجوی موارد منطبق با شناسه‌های فروشنده مجازی‌سازی شناخته شده، مانند VBox، VMBox، QEMU، VIRTUAL، VIRTUALBOX، VMWARE و Xen
• جستجوی ابزارهای شناخته شده sandboxing یا اشکال‌زدایی، و
• اطمینان از اینکه آیا فایل در یک محیط تجزیه و تحلیل در حال اجرا است یا خیر

تنها پس از انجام این بررسی‌ها، UDPGangster به جمع‌آوری اطلاعات سیستم و اتصال به یک سرور خارجی، (157.20.182[.]75) روی پورت UDP 1269 برای استخراج داده‌های جمع‌آوری‌شده، اجرای دستورات با استفاده از «cmd.exe»، انتقال فایل‌ها، به‌روزرسانی سرور فرماندهی و کنترل و رهاسازی و اجرای بارهای اضافی ادامه می‌دهد.

لین اظهار داشت:

«UDPGangster از رهاسازهای مبتنی بر ماکرو برای دسترسی اولیه و روال‌های ضد تجزیه و تحلیل گسترده‌ای برای جلوگیری از شناسایی استفاده می‌کند. کاربران و سازمان‌ها باید نسبت به اسناد ناخواسته، به‌ویژه آن‌هایی که درخواست فعال‌سازی ماکرو دارند، محتاط باشند.»

این پیشرفت چند روز پس از آن رخ داد که شرکت امنیت سایبری «ESET» این گروه هکری را مسئول حملاتی در بخش‌های دانشگاهی، مهندسی، دولت محلی، تولید، فناوری، حمل و نقل و خدمات رفاهی در سرزمین‌های اشغالی دانست که یک درب پشتی دیگر به نام «MuddyViper» را ارائه می‌داد.