UDPGangster ya está en su red: el grupo iraní MuddyWater convirtió una vulnerabilidad de protocolo en todo un arte del hackeo
Empresas de tres países pasaron meses sin darse cuenta de que sus sistemas enviaban datos confidenciales a servidores externos.
La agrupación iraní MuddyWater intensificó la actividad de ciberespionaje, utilizando el nuevo malware UDPGangster. Según Fortinet FortiGuard Labs, los ataques se dirigieron a Turquía, Israel y Azerbaiyán. El objetivo de la campaña fue el control oculto de sistemas infectados a través del protocolo UDP, lo que ayudó a evadir los mecanismos de defensa de las redes corporativas.
Para la intrusión se enviaron correos con documentos falsos de Microsoft Word. En algunos mensajes los atacantes se hacían pasar por el Ministerio de Asuntos Exteriores de la República Turca del Norte de Chipre y citaban un seminario en línea inexistente sobre las elecciones presidenciales. Los adjuntos incluían un archivo comprimido y un archivo Word independiente que instaba a habilitar macros. Tras la activación, se ejecutaba un script oculto que disfrazaba la actividad maliciosa como una imagen en hebreo del operador de telecomunicaciones israelí Bezeq sobre supuestos cortes de servicio.
El script se ejecutaba automáticamente al abrir el documento, decodificaba datos ocultos y los guardaba en un directorio del sistema, tras lo cual iniciaba la ejecución del componente principal UDPGangster. Esta herramienta se instalaba en el sistema mediante la modificación de parámetros del Registro y realizaba una serie de comprobaciones para evitar el análisis. El malware examinaba la configuración del procesador, la cantidad de memoria RAM, los parámetros de los adaptadores de red, la pertenencia del equipo a un grupo de trabajo, así como la presencia de señales de máquinas virtuales y depuradores. Solo tras comprobar que el entorno era seguro para su ejecución, procedía a recopilar información del sistema.
Tras la comprobación, UDPGangster se comunicaba con un servidor remoto por un canal UDP en el puerto 1269. A través de esa conexión se transmitían los datos obtenidos, se ejecutaban comandos del sistema, se descargaban archivos y se cargaban componentes adicionales. Según los especialistas de Fortinet, el uso de macros y la elección del UDP como canal de mando y control fueron elementos clave que permitieron que el malware permaneciera sin ser detectado durante mucho tiempo.
También se informa que poco antes de esta campaña la empresa ESET vinculó la actividad de MuddyWater con ataques contra organizaciones israelíes de distintos sectores, en los que se empleó otra herramienta maliciosa llamada MuddyViper.
Tu privacidad está muriendo lentamente, pero nosotros podemos salvarla