Hodur Malware

Um malware anteriormente desconhecido, foi usado em uma campanha de ataque atribuída ao grupo Mustang Panda APT (Advanced Persistent Threat). O grupo de crimes cibernéticos também é conhecido como TA416, RedDelta ou PKPLUG. Esta nova adição ao seu arsenal ameaçador foi nomeada Hodur pelos pesquisadores que descobriram a operação de ataque e analisaram a ameaça do malware. De acordo com o relatório, o Hodur é uma variante baseada no malware Korplug RAT. Além disso, tem uma semelhança significativa com outra variante do Korplug, conhecida como THOR, que foi documentada pela primeira vez pela Unidade 42 em 2020.

A Campanha de Ataque

Acredita-se que a operação que implanta a ameaça Hodur tenha começado por volta de agosto de 2021. Ela segue os TTPs (Táticas, Técnicas e Procedimentos) típicos do Mustang Panda. As vítimas do ataque foram identificadas em vários países espalhados por vários continentes. Máquinas infectadas foram identificadas na Mongólia, Vietnã, Rússia, Grécia e outros países. Os alvos foram entidades associadas a missões diplomáticas europeias, provedores de serviços de Internet (ISPs) e organizações de pesquisa.

O vetor de infecção inicial envolveu a divulgação de documentos de isca que aproveitam os eventos globais atuais. De fato, o Mustang Panda ainda está demonstrando sua capacidade de atualizar rapidamente seus documentos de isca para explorar qualquer evento significativo. O grupo foi descoberto usando um regulamento da UE sobre o COVID-19 apenas duas semanas após sua promulgação e documentos sobre a guerra na Ucrânia foram implantados poucos dias após a invasão surpresa russa do país.

Recursos Ameaçadores

Deve-se notar que os hackers criaram técnicas de anti-análise, bem como ofuscação de fluxo de controle em todas as etapas do processo de implantação de malware, uma característica raramente vista em outras campanhas de ataque. O malware Hodur é iniciado por meio de um carregador personalizado, exibindo o foco contínuo dos hackers na iteração e na criação de novas ferramentas perigosas.

O malware Hodur, uma vez totalmente implantado, pode reconhecer dois grandes grupos de comandos. O primeiro consiste em 7 comandos distintos e se preocupa principalmente com a execução do malware e o reconhecimento inicial e a coleta de dados realizada no dispositivo violado. O segundo grupo de comandos é muito maior com quase 20 comandos diferentes relacionados aos recursos RAT da ameaça. Os hackers podem instruir Hodur a listar todas as unidades mapeadas no sistema ou o conteúdo de um diretório específico, abrir ou gravar arquivos, executar comandos em uma área de trabalho oculta, abrir uma sessão cmd.exe remota e executar comandos, localizar arquivos que correspondam a um padrão fornecido e mais.