UDPギャングスターバックドア

イランと関連のあるグループ「MuddyWater」による脅威キャンペーンにおいて、新たに確認されたバックドア「UDPGangster」の展開が明らかになりました。TCPベースの通信を利用する従来のマルウェアとは異なり、このツールはUDGangsterをコマンドアンドコントロールチャネルとして利用するため、従来のセキュリティソリューションによるトラフィックの検出が困難です。このバックドアがアクティブになると、侵入したシステムを完全にリモート操作できるようになり、コマンド実行、ファイルの窃取、二次的なマルウェアの配信が可能になります。

地域的な標的とスパイ活動の動機

研究者らによると、被害者は主にトルコ、イスラエル、アゼルバイジャンで確認されている。この作戦の性質と地理的な焦点を合わせると、機密性の高い環境下で情報収集と遠隔地への拠点確保を目的とした標的型スパイ活動であることが示唆される。

フィッシング詐欺と悪意のある文書

攻撃者はネットワークへの侵入にスピアフィッシングを多用しています。北キプロス・トルコ共和国外務省を装ったメールが、何も知らない受信者に送信され、「大統領選挙と選挙結果」と題されたオンラインセミナーへの偽の招待を装っていました。

これらのメールには、悪意のある文書の同一バージョンが2つ添付されていました。1つはseminer.zipというZIPアーカイブ、もう1つはseminer.docというWordファイルです。この文書を開くと、マクロを有効にするよう促すメッセージが表示され、埋め込まれたペイロードがサイレントに実行されます。悪意のある活動を隠すため、マクロはイスラエルの通信事業者Bezeqが提供するヘブライ語の偽画像を表示し、2025年11月初旬に予定されているサービス中断について説明しているように見せかけています。

マクロ実行とペイロード配信

マクロが起動されると、ドロッパーはDocument_Open()イベントを利用して、隠蔽されたフォームフィールドに格納されたBase64データを自動的にデコードします。デコードされたコンテンツは以下の場所に書き込まれます。

C:\Users\Public\ui.txt

このファイルは Windows API CreateProcessA を介して起動され、UDPGangster バックドアを開始します。

ステルス設計：持続性と分析回避戦術

UDPGangsterは、Windowsレジストリの永続化を通じてホスト上での存在を確保します。また、仮想環境、サンドボックス、フォレンジック調査を阻止することを目的とした、幅広い分析回避技術も備えています。具体的には以下のとおりです。

• 環境と仮想化のチェック
• アクティブデバッグのテスト

これらのチェックをクリアした場合にのみ、マルウェアはシステムデータの抽出を開始し、157.20.182[.]75のUDPポート1269で外部サーバーとの通信を開始します。このチャネルを通じて、マルウェアはcmd.exe経由でシェルコマンドを実行し、ファイルを転送し、設定情報を更新し、後続のペイロードを展開します。

運用能力とデータ盗難

検証後、マルウェアはシステムメタデータを収集し、リモートC2サーバーに送信します。UDPベースの通信により、攻撃者は感染ホストとリアルタイムでやり取りし、必要に応じてコマンドの実行、バックドアのアップグレード、または追加の悪意のあるモジュールのドロップを指示できます。この構造は、偵察活動と長期的なスパイ活動の両方をサポートします。

緩和と認識

感染経路はマクロが有効化されたフィッシング文書に大きく依存するため、ユーザーの意識向上は依然として重要な防御策です。疑わしい添付ファイルや迷惑な添付ファイル、特にマクロの起動を促す添付ファイルには、細心の注意を払う必要があります。組織は、マクロ制限の実施、行動監視ソリューションの導入、そして標的型フィッシング攻撃への対応をユーザーに指導する必要があります。

推奨される防御策

• 組織全体でマクロを制限または無効にします。
• マクロベースのドロッパーを検出できるエンドポイント保護を導入します。
• 異常な送信 UDP トラフィックを監視します。
• 不明なポートや疑わしいポートへの通信試行にフラグを設定します。
• 標的型フィッシングの兆候についてスタッフを教育します。

欺瞞的なルアー、巧妙なマクロ実行、そして高度な回避策を組み合わせたMuddyWaterのUDPGangster攻撃は、秘密裏のアクセスと地域情報収集への新たな重点を示しています。このような脅威が足場を築くのを防ぐには、文書ベースの攻撃に対する警戒を怠らないことが不可欠です。