Hodur Malware

Korábban ismeretlen kártevőt használtak a Mustang Panda APT (Advanced Persistent Threat) csoportnak tulajdonított támadási kampányban. A kiberbűnözők csoportja TA416, RedDelta vagy PKPLUG néven is ismert. A fenyegető arzenálnak ezt az új kiegészítését Hodurnak nevezték el azok a kutatók, akik feltárták a támadási műveletet és elemezték a kártevő fenyegetést. Jelentésük szerint a Hodur a Korplug RAT kártevőn alapuló változat. Ezenkívül jelentős hasonlóságot mutat a THOR néven ismert másik Korplug-változattal, amelyet először a 42-es blokk dokumentált még 2020-ban.

Támadási kampány

A Hodur fenyegetést bevető hadművelet feltehetően 2021 augusztusa körül kezdődött. Ez a tipikus Mustang Panda TTP-ket (Tactics, Techniques és Procedures) követi. A támadás áldozatait több országban, több kontinensen azonosították. Fertőzött gépeket azonosítottak Mongóliában, Vietnamban, Oroszországban, Görögországban és más országokban. A célpontok európai diplomáciai képviseletekkel, internetszolgáltatókkal (ISP) és kutatószervezetekkel kapcsolatban álló szervezetek voltak.

A kezdeti fertőzési vektor olyan csalogató dokumentumok terjesztését jelentette, amelyek kihasználják az aktuális globális eseményeket. Valójában a Mustang Panda még mindig bizonyítja, hogy képes gyorsan frissíteni csalidokumentumait bármely jelentős esemény kihasználása érdekében. A csoportot a COVID-19-re vonatkozó EU-rendelet felhasználásával fedezték fel, mindössze két héttel annak hatályba lépése után, és az ukrajnai háborúról szóló dokumentumokat néhány nappal az országot ért meglepetésszerű orosz invázió után telepítették.

Fenyegető képességek

Meg kell jegyezni, hogy a hackerek a rosszindulatú programok telepítési folyamatának minden szakaszában beállítottak antielemzési technikákat, valamint vezérlési folyamat-elzavarást, ami más támadási kampányokban ritkán látható. A Hodur malware egy egyedi betöltőn keresztül indul el, ami azt mutatja, hogy a hackerek továbbra is az iterációra és új fenyegető eszközök létrehozására összpontosítanak.

A Hodur rosszindulatú program a teljes üzembe helyezés után két nagy parancscsoportot képes felismerni. Az első 7 különálló parancsból áll, és leginkább a kártevő végrehajtására, valamint a feltört eszközön végzett kezdeti felderítésre és adatgyűjtésre vonatkozik. A második parancscsoport sokkal nagyobb, közel 20 különböző parancsot tartalmaz, amelyek a fenyegetés RAT képességeihez kapcsolódnak. A hackerek utasíthatják Hodurt, hogy listázza ki a rendszer összes leképezett meghajtóját vagy egy adott könyvtár tartalmát, nyissa meg vagy írjon fájlokat, parancsokat hajtson végre egy rejtett asztalon, nyissa meg a távoli cmd.exe munkamenetet és hajtson végre parancsokat, keresse meg a megadott mintának megfelelő fájlokat. és több.