Hodur Malware

En hidtil ukendt malware er blevet brugt i en angrebskampagne, der tilskrives Mustang Panda APT-gruppen (Advanced Persistent Threat). Cyberkriminalitetsgruppen er også kendt som TA416, RedDelta eller PKPLUG. Denne nye tilføjelse til dets truende arsenal er blevet navngivet Hodur af forskerne, der afslørede angrebsoperationen og analyserede malware-truslen. Ifølge deres rapport er Hodur en variant baseret på Korplug RAT malware. Desuden har den en betydelig lighed med en anden Korplug-variant kendt som THOR, som først blev dokumenteret af Unit 42 tilbage i 2020.

Angrebskampagne

Operationen, der implementerer Hodur-truslen, menes at være startet omkring august 2021. Den følger de typiske Mustang Panda TTP'er (Taktik, Teknikker og Procedurer). Ofre for angrebet er blevet identificeret i flere lande fordelt på flere kontinenter. Inficerede maskiner er blevet identificeret i Mongoliet, Vietnam, Rusland, Grækenland og andre lande. Målene var enheder tilknyttet europæiske diplomatiske repræsentationer, internetudbydere (ISP'er) og forskningsorganisationer.

Den indledende infektionsvektor involverede formidling af lokkedokumenter, der drager fordel af aktuelle globale begivenheder. Faktisk demonstrerer Mustang Panda stadig sin evne til hurtigt at opdatere deres lokkedokumenter for at udnytte enhver væsentlig begivenhed. Gruppen blev opdaget ved hjælp af en EU-forordning vedrørende COVID-19 kun to uger efter, at den blev vedtaget, og dokumenter om krigen i Ukraine blev indsat få dage efter den overraskende russiske invasion af landet.

Truende evner

Det skal bemærkes, at hackerne har opsat anti-analyseteknikker, såvel som kontrol-flow sløring på alle stadier af malware-implementeringsprocessen, en egenskab, der sjældent ses i andre angrebskampagner. Hodur-malwaren initieres via en brugerdefineret loader, der viser hackernes fortsatte fokus på iteration og skabelse af nye truende værktøjer.

Hodur-malwaren, når den er fuldt implementeret, kan genkende to store grupper af kommandoer. Den første består af 7 forskellige kommandoer og er for det meste beskæftiget med at udføre malwaren og den indledende rekognoscering og dataindsamling udført på den brudte enhed. Den anden kommandogruppe er meget større med næsten 20 forskellige kommandoer relateret til truslens RAT-kapacitet. Hackerne kan instruere Hodur til at liste alle tilknyttede drev på systemet eller indholdet af en specifik mappe, åbne eller skrive filer, udføre kommandoer på et skjult skrivebord, åbne en ekstern cmd.exe-session og udføre kommandoer, finde filer, der matcher et givet mønster og mere.