Nguyễn Tiến Đạt
Intern Writer
Nhóm tin tặc Iran MuddyWater vừa bị phát hiện sử dụng một loại backdoor mới mang tên UDPGangster, khai thác giao thức UDP để duy trì kênh chỉ huy và kiểm soát (C2). Theo báo cáo từ Fortinet FortiGuard Labs, hoạt động gián điệp mạng này đang nhắm vào người dùng tại Thổ Nhĩ Kỳ, Israel và Azerbaijan.
Nhà nghiên cứu bảo mật Cara Lin cho biết phần mềm độc hại cho phép điều khiển từ xa hệ thống bị xâm nhập, bao gồm thực thi lệnh, đánh cắp tệp và triển khai thêm các tải trọng khác. Tất cả lưu lượng đều được truyền qua các kênh UDP nhằm né tránh các biện pháp phòng thủ mạng truyền thống.
Email đính kèm tệp ZIP “seminer.zip” chứa cùng tài liệu “seminer.doc”. Khi mở ra, tài liệu yêu cầu bật macro để kích hoạt mã độc VBA. Để che giấu hoạt động, macro hiển thị hình ảnh giả bằng tiếng Do Thái của nhà mạng Israel Bezeq, thông báo về kế hoạch ngắt kết nối ở nhiều thành phố vào tuần đầu tháng 11/2025.
Macro sử dụng sự kiện Document_Open() để tự chạy, giải mã dữ liệu Base64 từ trường biểu mẫu ẩn rồi ghi vào C:\Users\Public\ui.txt. Sau đó, tập tin này được thực thi bằng CreateProcessA, khởi chạy payload UDPGangster.
Sự việc được ghi nhận chỉ vài ngày sau khi ESET phát hiện MuddyWater tấn công hàng loạt tổ chức học thuật, kỹ thuật, chính quyền địa phương, sản xuất, công nghệ, giao thông và tiện ích tại Israel, trong đó xuất hiện thêm loại malware MuddyViper. (thehackernews)
Nhà nghiên cứu bảo mật Cara Lin cho biết phần mềm độc hại cho phép điều khiển từ xa hệ thống bị xâm nhập, bao gồm thực thi lệnh, đánh cắp tệp và triển khai thêm các tải trọng khác. Tất cả lưu lượng đều được truyền qua các kênh UDP nhằm né tránh các biện pháp phòng thủ mạng truyền thống.
Chiến dịch tấn công dựa trên tài liệu Word có chứa macro độc hại
Nhóm tấn công sử dụng email lừa đảo để phát tán tài liệu Microsoft Word có cài cắm mã độc. Một số email mạo danh Bộ Ngoại giao Cộng hòa Thổ Nhĩ Kỳ Bắc Síp, giả mời người nhận tham dự hội thảo trực tuyến về chủ đề “Bầu cử Tổng thống và Kết quả”.Email đính kèm tệp ZIP “seminer.zip” chứa cùng tài liệu “seminer.doc”. Khi mở ra, tài liệu yêu cầu bật macro để kích hoạt mã độc VBA. Để che giấu hoạt động, macro hiển thị hình ảnh giả bằng tiếng Do Thái của nhà mạng Israel Bezeq, thông báo về kế hoạch ngắt kết nối ở nhiều thành phố vào tuần đầu tháng 11/2025.
Macro sử dụng sự kiện Document_Open() để tự chạy, giải mã dữ liệu Base64 từ trường biểu mẫu ẩn rồi ghi vào C:\Users\Public\ui.txt. Sau đó, tập tin này được thực thi bằng CreateProcessA, khởi chạy payload UDPGangster.
Các kỹ thuật chống phân tích và cơ chế hoạt động của UDPGangster
Sau khi được kích hoạt, UDPGangster thiết lập khả năng bền bỉ bằng cách sửa đổi Windows Registry và tích hợp nhiều lớp kiểm tra chống phân tích, bao gồm:- Kiểm tra xem tiến trình có đang bị gỡ lỗi.
- Phân tích cấu hình CPU để phát hiện sandbox hoặc máy ảo.
- Xác định hệ thống có dưới 2.048 MB RAM.
- Kiểm tra tiền tố địa chỉ MAC, đối chiếu với danh sách vendor máy ảo.
- Phát hiện hệ thống thuộc nhóm làm việc mặc định của Windows.
- Tìm tiến trình như VBoxService.exe, VBoxTray.exe, vmware.exe, vmtoolsd.exe.
- Quét Registry tìm dấu vết của các nhà cung cấp ảo hóa như VBox, VMBox, QEMU, VIRTUAL, VIRTUALBOX, VMWARE, Xen.
- Tìm kiếm công cụ sandbox hoặc debugger đã biết.
- Xác định xem phần mềm có chạy trong môi trường phân tích.
- Gửi dữ liệu đã thu thập
- Thực thi lệnh qua cmd.exe
- Truyền tệp
- Cập nhật máy chủ C2
- Tải và chạy thêm các payload khác
Sự việc được ghi nhận chỉ vài ngày sau khi ESET phát hiện MuddyWater tấn công hàng loạt tổ chức học thuật, kỹ thuật, chính quyền địa phương, sản xuất, công nghệ, giao thông và tiện ích tại Israel, trong đó xuất hiện thêm loại malware MuddyViper. (thehackernews)
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview
Sửa lần cuối bởi điều hành viên: