Threat Database Advanced Persistent Threat (APT) Зловреден софтуер Hodur

Зловреден софтуер Hodur

Неизвестен досега зловреден софтуер е бил използван в кампания за атака, приписвана на групата Mustang Panda APT (Advanced Persistent Threat). Групата за киберпрестъпления е известна още като TA416, RedDelta или PKPLUG. Това ново допълнение към неговия заплашителен арсенал е наречено Hodur от изследователите, които разкриха операцията за атака и анализираха заплахата от зловреден софтуер. Според техния доклад, Hodur е вариант, базиран на зловредния софтуер Korplug RAT . Освен това, той има значителна прилика с друг вариант на Korplug, известен като THOR, който за първи път е документиран от Unit 42 през 2020 г.

Атакуваща кампания

Смята се, че операцията по внедряване на заплахата Hodur е започнала около август 2021 г. Тя следва типичните TTPs на Mustang Panda (тактика, техники и процедури). Жертвите на нападението са идентифицирани в множество държави, разположени на няколко континента. Заразени машини са идентифицирани в Монголия, Виетнам, Русия, Гърция и други страни. Целите бяха организации, свързани с европейски дипломатически мисии, доставчици на интернет услуги (ISP) и изследователски организации.

Първоначалният вектор на инфекция включваше разпространението на документи за примамка, които се възползват от текущите глобални събития. Всъщност Mustang Panda все още демонстрира способността си бързо да актуализира своите документи за примамка, за да използва всяко значимо събитие. Групата беше разкрита с помощта на регламент на ЕС относно COVID-19 само две седмици след влизането му в сила и документи за войната в Украйна бяха разположени само дни след изненадващото руско нахлуване в страната.

Застрашаващи способности

Трябва да се отбележи, че хакерите са създали техники за антианализ, както и обфускация на контролния поток на всеки етап от процеса на внедряване на зловреден софтуер, характеристика, която рядко се среща в други кампании за атака. Зловредният софтуер Hodur се инициира чрез персонализиран зареждане, показвайки непрекъснатия фокус на хакерите върху итерацията и създаването на нови заплашителни инструменти.

Зловредният софтуер Hodur, след като бъде напълно разгърнат, може да разпознае две големи групи команди. Първата се състои от 7 отделни команди и се занимава най-вече с изпълнението на злонамерения софтуер и първоначалното разузнаване и събиране на данни, извършени на взломаното устройство. Втората група команди е много по-голяма с близо 20 различни команди, свързани с RAT възможностите на заплахата. Хакерите могат да инструктират Hodur да изброи всички картирани устройства в системата или съдържанието на конкретна директория, да отваря или записва файлове, да изпълнява команди на скрит работен плот, да отваря отдалечена сесия cmd.exe и да изпълнява команди, да намира файлове, съответстващи на предоставен модел и още.

Тенденция

Най-гледан

Зареждане...