Hodur-haittaohjelma

Mustang Panda APT (Advanced Persistent Threat) -ryhmän hyökkäyskampanjassa on käytetty aiemmin tuntematonta haittaohjelmaa. Kyberrikollisuusryhmä tunnetaan myös nimellä TA416, RedDelta tai PKPLUG. Tämä uusi lisäys sen uhkaavaan arsenaaliin on nimennyt Hoduriksi hyökkäysoperaation paljastaneet ja haittaohjelmauhan analysoineet tutkijat. Heidän raporttinsa mukaan Hodur on muunnos, joka perustuu Korplug RAT -haittaohjelmaan . Lisäksi se muistuttaa merkittävästi toista Korplug-varianttia, joka tunnetaan nimellä THOR, jonka Unit 42 dokumentoi ensimmäisen kerran vuonna 2020.

Hyökkäyskampanja

Hodur-uhkaa käyttävän operaation uskotaan alkaneen elokuussa 2021. Se noudattaa tyypillisiä Mustang Panda TTP:itä (Tactics, Techniques ja Procedures). Hyökkäyksen uhrit on tunnistettu useista maista useilla mantereilla. Tartunnan saaneita koneita on tunnistettu Mongoliassa, Vietnamissa, Venäjällä, Kreikassa ja muissa maissa. Kohteena olivat Euroopan diplomaattisten edustustojen, Internet-palveluntarjoajien (ISP) ja tutkimusorganisaatioiden tahot.

Alkuperäinen tartuntavektori sisälsi viehedokumenttien levittämisen, joissa hyödynnetään ajankohtaisia maailmanlaajuisia tapahtumia. Mustang Panda todellakin osoittaa edelleen kykynsä päivittää nopeasti houkutusasiakirjansa hyödyntääkseen mitä tahansa merkittävää tapahtumaa. Ryhmä löydettiin käyttämällä EU:n COVID-19-asetusta vain kaksi viikkoa sen voimaantulon jälkeen, ja Ukrainan sotaa koskevat asiakirjat otettiin käyttöön vain muutama päivä Venäjän yllättävän hyökkäyksen jälkeen.

Uhkaavat ominaisuudet

On huomattava, että hakkerit ovat ottaneet käyttöön anti-analyysitekniikoita sekä ohjausvirran hämärtämistä haittaohjelmien käyttöönottoprosessin kaikissa vaiheissa, mikä on harvoin havaittavissa muissa hyökkäyskampanjoissa. Hodur-haittaohjelma käynnistetään mukautetun latausohjelman kautta, mikä osoittaa hakkereiden jatkuvan keskittymisen iterointiin ja uusien uhkaavien työkalujen luomiseen.

Kun Hodur-haittaohjelma on otettu käyttöön, se tunnistaa kaksi suurta komentoryhmää. Ensimmäinen koostuu 7 erillisestä komennosta ja koskee enimmäkseen haittaohjelman suorittamista sekä rikotun laitteen alkututkimista ja tietojen keräämistä. Toinen komentoryhmä on paljon suurempi, ja siinä on lähes 20 erilaista komentoa, jotka liittyvät uhan RAT-ominaisuuksiin. Hakkerit voivat käskeä Hoduria listaamaan kaikki järjestelmän yhdistetyt asemat tai tietyn hakemiston sisällön, avaamaan tai kirjoittamaan tiedostoja, suorittamaan käskyjä piilotetulla työpöydällä, avaamaan cmd.exe-etäistunnon ja suorittamaan komentoja, etsimään tiedostoja, jotka vastaavat annettua mallia. ja enemmän.

Trendaavat

Eniten katsottu

Ladataan...