Hodur Malware

Un malware precedentemente sconosciuto è stato utilizzato in una campagna di attacco attribuita al gruppo Mustang Panda APT (Advanced Persistent Threat). Il gruppo di criminalità informatica è anche noto come TA416, RedDelta o PKPLUG. Questa nuova aggiunta al suo minaccioso arsenale è stata chiamata Hodur dai ricercatori che hanno scoperto l'operazione di attacco e analizzato la minaccia malware. Secondo il loro rapporto, Hodur è una variante basata sul malware Korplug RAT. Inoltre, ha una somiglianza significativa con un'altra variante di Korplug nota come THOR, che è stata documentata per la prima volta dall'Unità 42 nel 2020.

Campagna d'attacco

Si ritiene che l'operazione di distribuzione della minaccia Hodur sia iniziata intorno ad agosto 2021. Segue i tipici TTP (tattiche, tecniche e procedure) di Mustang Panda. Le vittime dell'attacco sono state identificate in più paesi sparsi in diversi continenti. Macchine infette sono state identificate in Mongolia, Vietnam, Russia, Grecia e altri paesi. Gli obiettivi erano entità associate a missioni diplomatiche europee, Internet Service Provider (ISP) e organizzazioni di ricerca.

Il vettore di infezione iniziale ha comportato la diffusione di documenti di richiamo che sfruttano gli eventi globali attuali. In effetti, Mustang Panda sta ancora dimostrando la sua capacità di aggiornare rapidamente i propri documenti esca per sfruttare qualsiasi evento significativo. Il gruppo è stato scoperto utilizzando un regolamento dell'UE relativo al COVID-19 appena due settimane dopo la sua entrata in vigore e i documenti sulla guerra in Ucraina sono stati dispiegati pochi giorni dopo l'invasione russa a sorpresa del paese.

Capacità minacciose

Va notato che gli hacker hanno impostato tecniche di anti-analisi, nonché offuscamento del flusso di controllo in ogni fase del processo di distribuzione del malware, una caratteristica raramente riscontrata in altre campagne di attacco. Il malware Hodur viene avviato tramite un caricatore personalizzato, a dimostrazione della continua attenzione degli hacker all'iterazione e alla creazione di nuovi strumenti minacciosi.

Il malware Hodur, una volta distribuito completamente, è in grado di riconoscere due grandi gruppi di comandi. Il primo consiste in 7 comandi distinti e riguarda principalmente l'esecuzione del malware e la ricognizione iniziale e la raccolta di dati eseguita sul dispositivo violato. Il secondo gruppo di comandi è molto più ampio con quasi 20 diversi comandi relativi alle capacità RAT della minaccia. Gli hacker possono istruire Hodur a elencare tutte le unità mappate sul sistema o il contenuto di una directory specifica, aprire o scrivere file, eseguire comandi su un desktop nascosto, aprire una sessione remota di cmd.exe ed eseguire comandi, individuare i file corrispondenti a uno schema fornito e altro ancora.