Hodur-malware

Een voorheen onbekende malware is gebruikt in een aanvalscampagne die wordt toegeschreven aan de Mustang Panda APT (Advanced Persistent Threat)-groep. De cybercriminaliteitsgroep is ook bekend als TA416, RedDelta of PKPLUG. Deze nieuwe toevoeging aan zijn dreigende arsenaal is Hodur genoemd door de onderzoekers die de aanvalsoperatie hebben ontdekt en de malware-dreiging hebben geanalyseerd. Volgens hun rapport is Hodur een variant gebaseerd op de Korplug RAT- malware. Bovendien vertoont het een aanzienlijke gelijkenis met een andere Korplug-variant die bekend staat als THOR, die voor het eerst werd gedocumenteerd door Unit 42 in 2020.

Aanvalscampagne

De operatie waarbij de Hodur-dreiging wordt ingezet, is vermoedelijk begonnen rond augustus 2021. Het volgt de typische Mustang Panda TTP's (tactieken, technieken en procedures). Slachtoffers van de aanval zijn geïdentificeerd in meerdere landen, verspreid over verschillende continenten. Geïnfecteerde machines zijn geïdentificeerd in Mongolië, Vietnam, Rusland, Griekenland en andere landen. De doelwitten waren entiteiten die verbonden waren aan Europese diplomatieke missies, Internet Service Providers (ISP's) en onderzoeksorganisaties.

De initiële infectievector omvatte de verspreiding van lokdocumenten die profiteren van de huidige wereldwijde gebeurtenissen. Inderdaad, Mustang Panda toont nog steeds zijn vermogen aan om hun lokdocumenten snel bij te werken om elke belangrijke gebeurtenis uit te buiten. De groep werd ontdekt met behulp van een EU-regelgeving met betrekking tot COVID-19 slechts twee weken nadat deze was uitgevaardigd en documenten over de oorlog in Oekraïne werden ingezet, slechts enkele dagen na de verrassende Russische invasie van het land.

Dreigende mogelijkheden

Opgemerkt moet worden dat de hackers anti-analysetechnieken hebben ingesteld, evenals verduistering van de controlestroom in elke fase van het malware-implementatieproces, een kenmerk dat zelden wordt gezien in andere aanvalscampagnes. De Hodur-malware wordt gestart via een aangepaste lader, waaruit blijkt dat de hackers zich blijven concentreren op iteratie en het creëren van nieuwe bedreigende tools.

De Hodur-malware kan, eenmaal volledig ingezet, twee grote groepen opdrachten herkennen. De eerste bestaat uit 7 verschillende commando's en houdt zich voornamelijk bezig met het uitvoeren van de malware en de eerste verkenning en het verzamelen van gegevens op het geschonden apparaat. De tweede commandogroep is veel groter met bijna 20 verschillende commando's die verband houden met de RAT-mogelijkheden van de dreiging. De hackers kunnen Hodur instrueren om alle toegewezen schijven op het systeem of de inhoud van een specifieke map weer te geven, bestanden te openen of te schrijven, opdrachten uit te voeren op een verborgen bureaublad, een externe cmd.exe-sessie te openen en opdrachten uit te voeren, bestanden te lokaliseren die overeenkomen met een opgegeven patroon en meer.