Hodur Malware

En tidligere ukjent skadelig programvare har blitt brukt i en angrepskampanje tilskrevet Mustang Panda APT (Advanced Persistent Threat)-gruppen. Nettkriminalitetsgruppen er også kjent som TA416, RedDelta eller PKPLUG. Dette nye tillegget til det truende arsenalet har fått navnet Hodur av forskerne som avdekket angrepsoperasjonen og analyserte skadevaretrusselen. I følge rapporten deres er Hodur en variant basert på Korplug RAT- malware. Videre har den en betydelig likhet med en annen Korplug-variant kjent som THOR, som først ble dokumentert av Unit 42 tilbake i 2020.

Angrepskampanje

Operasjonen som distribuerer Hodur-trusselen antas å ha startet rundt august 2021. Den følger de typiske Mustang Panda TTP-ene (Taktikk, teknikker og prosedyrer). Ofre for angrepet er identifisert i flere land spredt over flere kontinenter. Infiserte maskiner er identifisert i Mongolia, Vietnam, Russland, Hellas og andre land. Målene var enheter tilknyttet europeiske diplomatiske oppdrag, Internett-leverandører (ISP) og forskningsorganisasjoner.

Den første infeksjonsvektoren innebar spredning av lokkedokumenter som utnytter aktuelle globale hendelser. Mustang Panda demonstrerer fortsatt sin evne til raskt å oppdatere lokkedokumentene sine for å utnytte enhver betydelig hendelse. Gruppen ble oppdaget ved å bruke en EU-forordning angående COVID-19 bare to uker etter at den ble vedtatt og dokumenter om krigen i Ukraina ble utplassert bare dager etter den overraskende russiske invasjonen av landet.

Truende evner

Det bør bemerkes at hackerne har satt opp anti-analyseteknikker, samt kontroll-flyt-obfuskering på alle trinn i distribusjonsprosessen for skadelig programvare, en egenskap som sjelden sees i andre angrepskampanjer. Hodur malware initieres via en tilpasset laster, som viser hackernes fortsatte fokus på iterasjon og opprettelse av nye truende verktøy.

Hodur-malwaren, når den er fullstendig distribuert, kan gjenkjenne to store grupper av kommandoer. Den første består av 7 forskjellige kommandoer og er hovedsakelig opptatt av å utføre skadelig programvare og den innledende rekognoseringen og datainnsamlingen som utføres på den ødelagte enheten. Den andre kommandogruppen er mye større med nesten 20 forskjellige kommandoer relatert til trusselens RAT-evner. Hackerne kan instruere Hodur til å liste opp alle kartlagte stasjoner på systemet eller innholdet i en spesifikk katalog, åpne eller skrive filer, utføre kommandoer på et skjult skrivebord, åpne en ekstern cmd.exe-sesjon og utføre kommandoer, finne filer som samsvarer med et gitt mønster og mer.