Il gruppo hacker iraniano MuddyWater è stato recentemente collegato a una nuova ondata di attacchi informatici mirati contro utenti e organizzazioni in Turchia, Israele e Azerbaigian. Al centro di questa campagna spicca l’utilizzo di UDPGangster, un malware backdoor che sfrutta il protocollo UDP per instaurare canali di comando e controllo (C2) difficili da rilevare dai sistemi di difesa tradizionali. L’attività malevola ha come obiettivo il controllo remoto dei sistemi compromessi, consentendo agli attaccanti di eseguire comandi, rubare file sensibili e distribuire ulteriori payload dannosi attraverso un traffico di rete mascherato.

Catena di attacco e tecniche di diffusione

La catena di attacco si basa principalmente su tecniche di spear-phishing, con l’invio di email che presentano allegati infetti, come file ZIP e documenti Word camuffati da inviti ufficiali a seminari o eventi istituzionali. Per esempio, alcune email fingevano di provenire dal Ministero degli Esteri della Repubblica Turca di Cipro del Nord e invitavano a un seminario sulle elezioni presidenziali. All’apertura del documento Word, viene richiesto all’utente di abilitare le macro, attivando così uno script VBA malevolo che, in modo silente, estrae un payload codificato Base64 e lo salva su disco, per poi eseguirlo tramite le API di Windows. Il risultato è l’installazione del backdoor UDPGangster sul sistema bersagliato.

Meccanismi di persistenza e anti-analisi

Per rafforzare la persistenza e ostacolare le analisi forensi, UDPGangster apporta modifiche al Registro di sistema di Windows ed esegue numerosi controlli anti-analisi. Tra questi figurano la verifica se il processo è in fase di debug, l’analisi dell’hardware per rilevare ambienti virtuali o sandbox, il controllo della quantità di RAM disponibile e la ricerca di software tipici di virtual machine come VMware e VirtualBox. Il malware esegue inoltre una scansione dei processi attivi per individuare strumenti di monitoraggio o debugging e verifica la presenza di indicatori di ambienti di analisi, così da bloccare l’esecuzione in caso di rilevamento.

Comunicazione e consigli di difesa

Solo dopo aver superato questi controlli, UDPGangster raccoglie informazioni sul sistema e stabilisce una connessione con un server remoto via UDP nella porta 1269. Da qui, i cybercriminali possono impartire comandi, trasferire file, aggiornare la configurazione del malware e distribuire ulteriori componenti dannosi. Questa modalità operativa, basata su macro e traffico UDP, permette di aggirare molti sistemi di rilevamento tradizionali. Per difendersi, è fondamentale prestare attenzione ai documenti non richiesti, soprattutto se richiedono di abilitare macro, e adottare soluzioni di sicurezza in grado di identificare comunicazioni sospette su protocolli non convenzionali.