کمیته رکن چهارم– گروه هکری منتسب به جمهوری اسلامی ایران با نام MuddyWater در یک کارزار جاسوسی جدید، کاربران در کشورهای ترکیه، اسرائیل و جمهوری آذربایجان را هدف قرار داده است. این گروه از بدافزار جدیدی به نام UDPGangster استفاده میکند که با تکیه بر پروتکل UDP، دستورات را به سیستم قربانی ارسال کرده و کنترل کامل از راه دور را به مهاجم میدهد.
به گزارش کمیته رکن چهارم، حملات از طریق ایمیلهای فیشینگ هدفمند انجام میشود که با جعل نام وزارت امور خارجه قبرس شمالی و موضوعی درباره انتخابات، کاربران را ترغیب به باز کردن فایل ورد آلوده میکنند. در صورت فعالسازی ماکرو، فایلهای مخرب اجرا شده و بدافزار روی سیستم نصب میشود.
بدافزار UDPGangster پس از نصب، تلاش میکند محیط آزمایشگاهی یا ماشینهای مجازی را شناسایی کند. تنها در صورتی که مطمئن شود سیستم واقعی است، اتصال خود را با سرور فرماندهی برقرار کرده و دستورات مختلفی از جمله سرقت فایلها، اجرای دستورات، یا بارگذاری بدافزارهای بیشتر را اجرا میکند.
از مهمترین ویژگیهای این بدافزار، پایداری از طریق رجیستری ویندوز و استفاده از تکنیکهای ضدتحلیل پیشرفته است. این ابزار با هدف عبور از سیستمهای دفاعی طراحی شده و تنها در صورت اطمینان از محیط واقعی، عملیات جاسوسی را آغاز میکند.
در حملات قبلی این گروه که توسط شرکت ESET گزارش شده بود، از بدافزار دیگری به نام MuddyViper استفاده شده بود و نهادهای دولتی و صنعتی در اسرائیل هدف قرار گرفته بودند.
سازمانها در کشورهای هدف باید نسبت به ایمیلهای مشکوک و فایلهایی که نیاز به فعالسازی ماکرو دارند، بسیار محتاط باشند. بررسی ترافیک شبکه بهویژه ارتباطات غیرمعمول UDP میتواند در شناسایی این حملات مؤثر باشد.
