Porte dérobée UDPGangster

Une campagne de cyberattaques attribuée au groupe MuddyWater, lié à l'Iran, a révélé le déploiement d'une nouvelle porte dérobée baptisée UDPGangster. Contrairement aux logiciels malveillants classiques qui utilisent le protocole TCP, cet outil exploite le protocole UDP (User Datagram Protocol) comme canal de commande et de contrôle, ce qui rend son trafic plus difficile à détecter pour les solutions de sécurité traditionnelles. Une fois activée, la porte dérobée permet une manipulation à distance complète des systèmes compromis, autorisant l'exécution de commandes, le vol de fichiers et la diffusion de logiciels malveillants secondaires.

Ciblage régional et motifs d’espionnage

Les chercheurs indiquent que les victimes ont été identifiées principalement en Turquie, en Israël et en Azerbaïdjan. La nature de l'opération, combinée à son ciblage géographique, révèle une tentative d'espionnage ciblée visant à recueillir des renseignements et à s'infiltrer dans des environnements sensibles.

Leurres d’hameçonnage et documents malveillants

Les attaquants ont largement recours au spear-phishing pour infiltrer les réseaux. Des courriels usurpant l'identité du ministère des Affaires étrangères de la République turque de Chypre du Nord ont été envoyés à des destinataires non avertis, les invitant faussement à un séminaire en ligne intitulé « Élections présidentielles et résultats ».

Ces courriels contenaient deux versions identiques du document malveillant : une archive ZIP nommée seminer.zip et un fichier Word intitulé seminer.doc. À l’ouverture, le document invite l’utilisateur à activer les macros, permettant ainsi l’exécution silencieuse de son code malveillant. Pour masquer l’activité malveillante, la macro affiche une fausse image en hébreu provenant de l’opérateur de télécommunications israélien Bezeq, censée décrire des interruptions de service prévues début novembre 2025.

Exécution des macros et livraison de la charge utile

Une fois les macros activées, le programme utilise l'événement Document_Open() pour décoder automatiquement les données Base64 stockées dans un champ de formulaire masqué. Le contenu résultant est ensuite écrit dans :

C:\Utilisateurs\Public\ui.txt

Ce fichier est ensuite lancé via l'API Windows CreateProcessA, déclenchant ainsi la porte dérobée UDPGangster.

Furtivité par conception : Persistance et tactiques anti-analyse

UDPGangster sécurise sa présence sur l'hôte grâce à la persistance dans le Registre Windows. Il intègre également un large éventail de techniques anti-analyse visant à contrer les environnements virtuels, les sandboxes et les analyses forensiques. Ces techniques comprennent :

• Vérifications de l'environnement et de la virtualisation
• Test de débogage actif
• Inspection des caractéristiques du processeur pour détecter les signes de machines virtuelles

• Identification des systèmes disposant de moins de 2 Go de RAM

• Validation des préfixes d'adresse MAC pour détecter les fournisseurs de machines virtuelles

• Vérification de l'appartenance du périphérique au groupe de travail Windows par défaut

• Recherche de processus tels que VBoxService.exe, VBoxTray.exe, vmware.exe et vmtoolsd.exe

• Examen des entrées du Registre à la recherche d'identificateurs de virtualisation, notamment VBox, VMBox, QEMU, VIRTUAL, VIRTUALBOX, VMWARE et Xen

• Recherche d'utilitaires de sandbox ou de débogage connus

• Déterminer si l'exécution a lieu dans un environnement d'analyse

Ce n’est qu’une fois ces vérifications effectuées que le logiciel malveillant commence à exfiltrer les données du système et à communiquer avec son serveur externe sur le port UDP 1269 sur 157.20.182[.]75. Par ce canal, il peut exécuter des commandes shell via cmd.exe, transférer des fichiers, mettre à jour les détails de configuration et déployer des charges utiles de suivi.

Capacités opérationnelles et vol de données

Après validation, le logiciel malveillant collecte les métadonnées système et les envoie au serveur C2 distant. Sa communication via UDP permet aux attaquants d'interagir en temps réel avec l'hôte infecté, en lui ordonnant d'exécuter des commandes, de mettre à jour la porte dérobée ou de déployer des modules malveillants supplémentaires selon les besoins. Cette architecture permet à la fois des opérations de reconnaissance et d'espionnage de longue durée.

Atténuation et sensibilisation

Étant donné que la chaîne d'infection repose sur des documents d'hameçonnage utilisant des macros, la vigilance des utilisateurs demeure une mesure de défense essentielle. Les pièces jointes suspectes ou non sollicitées, en particulier celles incitant à l'activation de macros, doivent être traitées avec la plus grande prudence. Les organisations doivent imposer des restrictions sur les macros, déployer des solutions de surveillance comportementale et former les utilisateurs à reconnaître les tactiques d'hameçonnage ciblées.

Mesures de défense recommandées

• Restreindre ou désactiver les macros dans toute l'organisation.
• Déployez une protection des terminaux capable de détecter les programmes d'installation basés sur des macros.
• Surveillez le trafic UDP sortant inhabituel.
• Signaler toute tentative de communication vers des ports inconnus ou suspects.
• Sensibiliser le personnel aux indicateurs de phishing ciblés.

En combinant des leurres trompeurs, une exécution furtive de macros et des méthodes d'évasion avancées, la campagne UDPGangster de MuddyWater témoigne d'une importance renouvelée accordée à l'accès clandestin et au recueil de renseignements régionaux. La vigilance constante face aux attaques par injection de documents est essentielle pour empêcher de telles menaces de s'implanter durablement.