Hodur Malware

Nieznane wcześniej złośliwe oprogramowanie zostało użyte w kampanii ataku przypisywanej grupie Mustang Panda APT (Advanced Persistent Threat). Grupa cyberprzestępcza znana jest również jako TA416, RedDelta lub PKPLUG. Ten nowy dodatek do groźnego arsenału został nazwany Hodur przez badaczy, którzy odkryli operację ataku i przeanalizowali zagrożenie złośliwym oprogramowaniem. Według ich raportu Hodur to wariant oparty na złośliwym oprogramowaniu Korplug RAT. Co więcej, jest bardzo podobny do innego wariantu Korplug znanego jako THOR, który został po raz pierwszy udokumentowany przez Unit 42 w 2020 roku.

Kampania ataku

Uważa się, że operacja wykorzystująca zagrożenie Hodur rozpoczęła się około sierpnia 2021 r. Jest to typowa zasada TTP (taktyka, techniki i procedury) Mustanga Panda. Ofiary ataku zostały zidentyfikowane w wielu krajach na kilku kontynentach. Zainfekowane maszyny zidentyfikowano w Mongolii, Wietnamie, Rosji, Grecji i innych krajach. Adresatami były podmioty związane z europejskimi misjami dyplomatycznymi, dostawcy usług internetowych (ISP) oraz organizacje badawcze.

Początkowy wektor infekcji obejmował rozpowszechnianie dokumentów przynęty, które wykorzystują bieżące wydarzenia na świecie. Rzeczywiście, Mustang Panda wciąż demonstruje swoją zdolność do szybkiego aktualizowania swoich dokumentów wabików, aby wykorzystać każde znaczące wydarzenie. Grupa została odkryta za pomocą rozporządzenia UE dotyczącego COVID-19 zaledwie dwa tygodnie po jego uchwaleniu, a dokumenty dotyczące wojny na Ukrainie zostały rozmieszczone zaledwie kilka dni po niespodziewanej rosyjskiej inwazji na ten kraj.

Zdolności grożące

Należy zauważyć, że hakerzy stworzyli techniki antyanalizy, a także zaciemnianie przepływu kontroli na każdym etapie procesu wdrażania złośliwego oprogramowania, co jest rzadko spotykane w innych kampaniach ataków. Szkodliwe oprogramowanie Hodur jest inicjowane za pomocą niestandardowego programu ładującego, co pokazuje, że hakerzy nadal koncentrują się na iteracji i tworzeniu nowych groźnych narzędzi.

Po pełnym wdrożeniu złośliwe oprogramowanie Hodur może rozpoznawać dwie duże grupy poleceń. Pierwsza z nich składa się z 7 odrębnych poleceń i dotyczy głównie wykonania złośliwego oprogramowania oraz wstępnego rozpoznania i gromadzenia danych na złamanym urządzeniu. Druga grupa poleceń jest znacznie większa i obejmuje prawie 20 różnych poleceń związanych z możliwościami RAT zagrożenia. Hakerzy mogą poinstruować Hodur, aby wyświetlał wszystkie zmapowane dyski w systemie lub zawartość określonego katalogu, otwierał lub zapisywał pliki, wykonywał polecenia na ukrytym pulpicie, otwierał zdalną sesję cmd.exe i wykonywał polecenia, lokalizował pliki pasujące do podanego wzorca i więcej.