Kenkėjiška programa Hodur

Anksčiau nežinoma kenkėjiška programa buvo panaudota atakos kampanijoje, priskirtoje Mustang Panda APT (Advanced Persistent Threat) grupei. Kibernetinių nusikaltimų grupė taip pat žinoma kaip TA416, RedDelta arba PKPLUG. Šį naują grėsmingo arsenalo papildymą mokslininkai, atskleidę atakos operaciją ir išanalizavę kenkėjiškų programų grėsmę, pavadino Hoduru. Remiantis jų ataskaita, Hodur yra variantas, pagrįstas Korplug RAT kenkėjiška programa. Be to, jis labai panašus į kitą Korplug variantą, žinomą kaip THOR, kuris pirmą kartą buvo užfiksuotas 42 bloko 2020 m.

Atakos kampanija

Manoma, kad Hoduro grėsmės dislokavimo operacija prasidėjo maždaug 2021 m. rugpjūčio mėn. Ji vykdoma pagal tipinius Mustang Panda TTP (taktikos, technikos ir procedūrų). Išpuolio aukos buvo nustatytos keliose šalyse, išsidėsčiusiose keliuose žemynuose. Užkrėsti įrenginiai buvo nustatyti Mongolijoje, Vietname, Rusijoje, Graikijoje ir kitose šalyse. Taikiniai buvo subjektai, susiję su Europos diplomatinėmis atstovybėmis, interneto paslaugų teikėjais (IPT) ir mokslinių tyrimų organizacijomis.

Pradinis infekcijos vektorius apėmė viliojimo dokumentų, naudojančių dabartinius pasaulinius įvykius, platinimą. Iš tiesų, Mustang Panda vis dar demonstruoja savo gebėjimą greitai atnaujinti savo apgaulės dokumentus, kad išnaudotų bet kokį reikšmingą įvykį. Grupė buvo aptikta naudojant ES reglamentą dėl COVID-19 praėjus vos dviem savaitėms po jo įsigaliojimo, o dokumentai apie karą Ukrainoje buvo dislokuoti praėjus kelioms dienoms po netikėtos Rusijos invazijos į šalį.

Grėsmingi pajėgumai

Reikėtų pažymėti, kad įsilaužėliai įdiegė antianalizės metodus, taip pat kontrolės ir srauto užtemdymą kiekviename kenkėjiškų programų diegimo proceso etape, o tai retai pastebima kitose atakų kampanijose. Kenkėjiška „Hodur“ programa paleidžiama naudojant pasirinktinį įkroviklį, parodantį, kad įsilaužėliai nuolat sutelkia dėmesį į iteraciją ir naujų grėsmingų įrankių kūrimą.

Visiškai įdiegta „Hodur“ kenkėjiška programa gali atpažinti dvi dideles komandų grupes. Pirmoji susideda iš 7 skirtingų komandų ir daugiausia susijusi su kenkėjiškų programų vykdymu ir pradine žvalgyba bei duomenų rinkimu, atliekamu pažeistame įrenginyje. Antroji komandų grupė yra daug didesnė, joje yra beveik 20 skirtingų komandų, susijusių su grėsmės RAT galimybėmis. Įsilaužėliai gali nurodyti Hodur išvardyti visus susietus sistemos diskus arba konkretaus katalogo turinį, atidaryti arba įrašyti failus, vykdyti komandas paslėptame darbalaukyje, atidaryti nuotolinę cmd.exe seansą ir vykdyti komandas, rasti failus, atitinkančius pateiktą šabloną. ir dar.