Κακόβουλο λογισμικό Hodur

Ένα προηγουμένως άγνωστο κακόβουλο λογισμικό έχει χρησιμοποιηθεί σε μια καμπάνια επίθεσης που αποδίδεται στην ομάδα Mustang Panda APT (Advanced Persistent Threat). Η ομάδα εγκλήματος στον κυβερνοχώρο είναι επίσης γνωστή ως TA416, RedDelta ή PKPLUG. Αυτή η νέα προσθήκη στο απειλητικό οπλοστάσιό της ονομάστηκε Hodur από τους ερευνητές που αποκάλυψαν την επιχείρηση επίθεσης και ανέλυσαν την απειλή κακόβουλου λογισμικού. Σύμφωνα με την έκθεσή τους, το Hodur είναι μια παραλλαγή που βασίζεται στο κακόβουλο λογισμικό Korplug RAT . Επιπλέον, έχει σημαντική ομοιότητα με μια άλλη παραλλαγή Korplug γνωστή ως THOR, η οποία τεκμηριώθηκε για πρώτη φορά από τη Μονάδα 42 το 2020.

Εκστρατεία επίθεσης

Η επιχείρηση ανάπτυξης της απειλής Hodur πιστεύεται ότι ξεκίνησε γύρω στον Αύγουστο του 2021. Ακολουθεί τα τυπικά TTP της Mustang Panda (Τακτικές, Τεχνικές και Διαδικασίες). Τα θύματα της επίθεσης έχουν εντοπιστεί σε πολλές χώρες σε πολλές ηπείρους. Μολυσμένα μηχανήματα έχουν εντοπιστεί στη Μογγολία, το Βιετνάμ, τη Ρωσία, την Ελλάδα και άλλες χώρες. Οι στόχοι ήταν οντότητες που συνδέονται με ευρωπαϊκές διπλωματικές αποστολές, παρόχους υπηρεσιών Διαδικτύου (ISP) και ερευνητικούς οργανισμούς.

Ο αρχικός φορέας μόλυνσης περιελάμβανε τη διάδοση εγγράφων δέλεαρ που εκμεταλλεύονται τα τρέχοντα παγκόσμια γεγονότα. Πράγματι, η Mustang Panda εξακολουθεί να επιδεικνύει την ικανότητά της να ενημερώνει γρήγορα τα έγγραφά της για να εκμεταλλευτεί οποιοδήποτε σημαντικό γεγονός. Η ομάδα ανακαλύφθηκε χρησιμοποιώντας έναν κανονισμό της ΕΕ σχετικά με τον COVID-19 μόλις δύο εβδομάδες μετά τη θέσπισή του και έγγραφα σχετικά με τον πόλεμο στην Ουκρανία αναπτύχθηκαν λίγες μέρες μετά την αιφνιδιαστική ρωσική εισβολή στη χώρα.

Απειλητικές Ικανότητες

Θα πρέπει να σημειωθεί ότι οι χάκερ έχουν δημιουργήσει τεχνικές αντι-ανάλυσης, καθώς και συσκότιση ελέγχου ροής σε κάθε στάδιο της διαδικασίας ανάπτυξης κακόβουλου λογισμικού, χαρακτηριστικό που σπάνια παρατηρείται σε άλλες εκστρατείες επίθεσης. Το κακόβουλο λογισμικό Hodur εκκινείται μέσω ενός προσαρμοσμένου φορτωτή, επιδεικνύοντας τη συνεχή εστίαση των χάκερ στην επανάληψη και τη δημιουργία νέων απειλητικών εργαλείων.

Το κακόβουλο λογισμικό Hodur, μόλις αναπτυχθεί πλήρως, μπορεί να αναγνωρίσει δύο μεγάλες ομάδες εντολών. Η πρώτη αποτελείται από 7 διακριτές εντολές και ασχολείται κυρίως με την εκτέλεση του κακόβουλου λογισμικού και την αρχική αναγνώριση και συλλογή δεδομένων που εκτελούνται στη συσκευή που έχει παραβιαστεί. Η δεύτερη ομάδα εντολών είναι πολύ μεγαλύτερη με σχεδόν 20 διαφορετικές εντολές που σχετίζονται με τις δυνατότητες RAT της απειλής. Οι χάκερ μπορούν να δώσουν εντολή στον Hodur να απαριθμήσει όλες τις αντιστοιχισμένες μονάδες δίσκου στο σύστημα ή τα περιεχόμενα ενός συγκεκριμένου καταλόγου, να ανοίξει ή να γράψει αρχεία, να εκτελέσει εντολές σε μια κρυφή επιφάνεια εργασίας, να ανοίξει μια απομακρυσμένη περίοδο λειτουργίας cmd.exe και να εκτελέσει εντολές, να εντοπίσει αρχεία που ταιριάζουν με ένα παρεχόμενο μοτίβο κι αλλα.