Вредоносное ПО Hodur

Ранее неизвестное вредоносное ПО было использовано в кампании атаки, приписываемой группе Mustang Panda APT (Advanced Persistent Threat). Группа киберпреступников также известна как TA416, RedDelta или PKPLUG. Это новое дополнение к угрожающему арсеналу было названо Hodur исследователями, которые раскрыли операцию атаки и проанализировали угрозу вредоносного ПО. Согласно их отчету, Hodur — это вариант, основанный на вредоносном ПО Korplug RAT . Кроме того, он имеет значительное сходство с другим вариантом Korplug, известным как THOR, который был впервые задокументирован Отрядом 42 еще в 2020 году.

Кампания атаки

Считается, что операция по развертыванию угрозы Hodur началась примерно в августе 2021 года. Она следует типичным TTP Mustang Panda (тактика, методы и процедуры). Жертвы атаки были выявлены в нескольких странах на нескольких континентах. Зараженные машины были выявлены в Монголии, Вьетнаме, России, Греции и других странах. Целями были организации, связанные с европейскими дипломатическими представительствами, интернет-провайдерами (ISP) и исследовательскими организациями.

Первоначальный вектор заражения включал распространение документов-приманок, в которых использовались текущие глобальные события. Действительно, Mustang Panda все еще демонстрирует свою способность быстро обновлять свои документы-приманки, чтобы использовать любое значимое событие. Группа была обнаружена с помощью постановления ЕС о COVID-19 всего через две недели после его принятия, а документы о войне в Украине были размещены всего через несколько дней после неожиданного вторжения России в страну.

Угрожающие возможности

Следует отметить, что хакеры внедрили методы антианализа, а также обфускацию потока управления на каждом этапе процесса развертывания вредоносного ПО, что редко встречается в других кампаниях атак. Вредоносное ПО Hodur запускается с помощью специального загрузчика, демонстрируя постоянное внимание хакеров к итерации и созданию новых угрожающих инструментов.

После полного развертывания вредоносное ПО Hodur может распознавать две большие группы команд. Первая состоит из 7 отдельных команд и в основном связана с запуском вредоносного ПО, а также с первоначальной разведкой и сбором данных на взломанном устройстве. Вторая группа команд намного больше и включает почти 20 различных команд, связанных с возможностями RAT угрозы. Хакеры могут поручить Hodur составить список всех подключенных дисков в системе или содержимое определенного каталога, открывать или записывать файлы, выполнять команды на скрытом рабочем столе, открывать удаленный сеанс cmd.exe и выполнять команды, находить файлы, соответствующие предоставленному шаблону. и больше.