كشفت تقارير أمنية حديثة عن تزايد نشاط مجموعة MuddyWater في شن هجمات سيبرانية متطورة تستهدف أنظمة ويندوز في منطقة الشرق الأوسط. تركز هذه الهجمات على استخدام أبواب خلفية جديدة، أبرزها UDPGangster، المصمم للتخفي عن الدفاعات الشبكية التقليدية.
وتشمل الدول المستهدفة حاليًا تركيا وإسرائيل وأذربيجان، مما يشير إلى نطاق جغرافي متزايد لهذه التهديدات. هذه الهجمات تهدف إلى التجسس السيبراني وسرقة المعلومات الحساسة.
UMPGangster: باب خلفي جديد يهدد أنظمة ويندوز
يُعد UDPGangster باباً خلفياً يعتمد على بروتوكول UDP، وهو مصمم خصيصاً لتجاوز إجراءات الأمن السيبراني الحالية. يمنح هذا البرنامج الخبيث المهاجمين سيطرة كاملة عن بعد على الأنظمة المخترقة.
ويمكن للمهاجمين من خلاله تنفيذ الأوامر، وسرقة الملفات، ونشر برمجيات خبيثة إضافية. إن استخدام بروتوكول UDP يجعل اكتشافه صعباً، حيث أن حركة المرور عبر هذا البروتوكول غالباً ما تكون أقل خضوعاً للمراقبة المكثفة مقارنة ببروتوكولات أخرى.
آلية الإصابة والتخفي
تعتمد حملات MuddyWater بشكل كبير على الهندسة الاجتماعية، حيث تقوم بإرسال رسائل بريد إلكتروني تبدو وكأنها صادرة عن جهات حكومية رفيعة. تحتوي هذه الرسائل عادةً على مستندات Microsoft Word مصممة لخداع المستخدم.
عندما يقوم المستخدم بفتح هذه المستندات وتمكين وحدات الماكرو الضارة، يبدأ التثبيت الصامت للباب الخلفي. وتتضمن إحدى الحملات المكتشفة رسالة تدعي أنها من وزارة الخارجية التركية، تدعو إلى ندوة عبر الإنترنت حول الانتخابات الرئاسية.
وتشمل المستندات المزيفة معلومات تبدو غير ضارة، مما يشتت انتباه الضحية أثناء تنفيذ التعليمات البرمجية الخبيثة في الخلفية. ووفقاً لمحللي Fortinet، فإن هذه البرمجيات الخبيثة تتضمن قدرات متقدمة للكشف والتخفي عن بيئات التحليل الآلي.
وذلك من خلال اكتشاف برامج التصحيح (debuggers)، وفحص خصائص وحدة المعالجة المركزية، والتحقق من حجم الذاكرة والقرص، وتحليل عناوين MAC الخاصة ببطاقات الشبكة الافتراضية. هذه التقنيات تجعل من الصعب على الباحثين الأمنيين والأنظمة الآلية اكتشاف التهديد في مراحله المبكرة.
تفاصيل تقنية للهجوم
تبدأ عملية الإصابة عندما يقوم الضحية بفتح مستند Word يحتوي على وحدات ماكرو VBA مضمنة. يؤدي حدث Document_Open() إلى تشغيل سلسلة من الإجراءات التي تثبت الباب الخلفي. يقوم الماكرو بفك تشفير بيانات مشفرة بصيغة Base64 من حقل نموذج مخفي، ويكتبها في ملف باسم ui.txt في مسار C:UsersPublic.
بعد ذلك، يقوم البرنامج الخبيث بتنفيذ هذا الملف باستخدام استدعاءات Windows API، وتحديداً CreateProcessA، مما يؤدي إلى تحميل حمولة UDPGangster مباشرة في ذاكرة النظام.
الثبات والتواصل مع خوادم القيادة والتحكم
لكي يضمن الباب الخلفي استمرارية عمله، يقوم UDPGangster بنسخ نفسه إلى مسار %AppData%RoamingLow تحت اسم SystemProc.exe.
ثم يقوم بتعديل سجل الويندوز (Registry) عن طريق إضافة مسار البرنامج الخبيث إلى مفتاح HKCUSOFTWAREMicrosoftWindowsCurrentVersionExplorerUser Shell Folders تحت قيمة Startup. وهذا يضمن تشغيل البرنامج الخبيث تلقائياً في كل مرة يقوم فيها المستخدم بإعادة تشغيل جهازه.
بعد تجاوز إجراءات التحليل الأمني، يقوم UDPGangster بجمع تفاصيل النظام مثل اسم الكمبيوتر، ومعلومات النطاق، وإصدار نظام التشغيل. يتم تشفير هذه البيانات باستخدام تحويل يعتمد على ROR، ثم إرسالها إلى خوادم القيادة والتحكم (C2) عبر منفذ UDP رقم 1269.