호두르 악성코드

Mustang Panda APT(Advanced Persistent Threat) 그룹에 기인한 공격 캠페인에 이전에 알려지지 않은 악성코드가 사용되었습니다. 사이버 범죄 그룹은 TA416, RedDelta 또는 PKPLUG라고도 합니다. 위협적인 무기고에 새로 추가된 이 공격 작전을 밝혀내고 맬웨어 위협을 분석한 연구원들은 Hodur라는 이름을 붙였습니다. 그들의 보고서에 따르면 Hodur는 Korplug RAT 악성코드를 기반으로 한 변종입니다. 또한 2020년에 Unit 42에서 처음 문서화한 THOR로 알려진 또 다른 Korplug 변종과 상당히 유사합니다.

공격 캠페인

Hodur 위협을 배포하는 작업은 2021년 8월경에 시작된 것으로 여겨집니다. 이는 일반적인 Mustang Panda TTP(Tactics, Techniques, and Procedures)를 따릅니다. 공격의 피해자는 여러 대륙에 걸쳐 여러 국가에서 확인되었습니다. 감염된 기계는 몽골, 베트남, 러시아, 그리스 및 기타 국가에서 확인되었습니다. 표적은 유럽 외교 사절단, 인터넷 서비스 제공업체(ISP) 및 연구 기관과 관련된 기관이었습니다.

초기 감염 벡터는 현재의 글로벌 이벤트를 이용하는 미끼 문서의 유포와 관련되었습니다. 실제로 Mustang Panda는 중요한 이벤트를 악용하기 위해 미끼 문서를 빠르게 업데이트하는 능력을 여전히 보여주고 있습니다. 이 그룹은 제정된 지 불과 2주 만에 코로나19에 관한 EU 규정을 사용하여 발견되었고 러시아의 기습 침공 직후 우크라이나 전쟁에 관한 문서가 배치되었습니다.

위협적인 능력

해커는 다른 공격 캠페인에서는 거의 볼 수 없는 특징인 악성 코드 배포 프로세스의 모든 단계에서 분석 방지 기술과 제어 흐름 난독화를 설정했습니다. Hodur 맬웨어는 사용자 지정 로더를 통해 시작되어 해커가 새로운 위협 도구의 반복 및 생성에 지속적으로 집중하고 있음을 보여줍니다.

Hodur 악성코드는 일단 완전히 배포되면 두 개의 큰 명령 그룹을 인식할 수 있습니다. 첫 번째 명령은 7개의 고유한 명령으로 구성되며 대부분 멀웨어 실행과 침해된 장치에서 수행되는 초기 정찰 및 데이터 수집과 관련이 있습니다. 두 번째 명령 그룹은 위협의 RAT 기능과 관련된 거의 20가지 명령으로 훨씬 더 큽니다. 해커는 Hodur가 시스템의 모든 매핑된 드라이브 또는 특정 디렉터리의 내용을 나열하고, 파일을 열거나 쓰고, 숨겨진 데스크톱에서 명령을 실행하고, 원격 cmd.exe 세션을 열고, 명령을 실행하고, 제공된 패턴과 일치하는 파일을 찾도록 지시할 수 있습니다. 그리고 더.