Threat Database Advanced Persistent Threat (APT) Zlonamerna programska oprema Hodur

Zlonamerna programska oprema Hodur

Prej neznana zlonamerna programska oprema je bila uporabljena v napadu, ki je pripisan skupini Mustang Panda APT (Advanced Persistent Threat). Skupina kibernetskega kriminala je znana tudi kot TA416, RedDelta ali PKPLUG. Raziskovalci, ki so odkrili operacijo napada in analizirali grožnjo zlonamerne programske opreme, so ta nov dodatek njegovemu grozečemu arzenalu poimenovali Hodur. Glede na njihovo poročilo je Hodur različica, ki temelji na zlonamerni programski opremi Korplug RAT . Poleg tega je zelo podoben drugi različici Korplug, znani kot THOR, ki jo je enota 42 prvič dokumentirala leta 2020.

Napadna kampanja

Operacija, ki uvaja grožnjo Hodur, naj bi se začela okoli avgusta 2021. Sledi tipičnim TTP-jem za Mustang Panda (taktike, tehnike in postopki). Žrtve napada so identificirali v več državah, ki se razprostirajo po več celinah. Okužene naprave so odkrili v Mongoliji, Vietnamu, Rusiji, Grčiji in drugih državah. Cilji so bili subjekti, povezani z evropskimi diplomatskimi misijami, ponudniki internetnih storitev (ISP) in raziskovalne organizacije.

Začetni vektor okužbe je vključeval razširjanje dokumentov o vabah, ki izkoriščajo trenutne globalne dogodke. Dejansko Mustang Panda še vedno dokazuje svojo sposobnost hitrega posodabljanja svojih dokumentov vabe za izkoriščanje kakršnega koli pomembnega dogodka. Skupina je bila odkrita z uporabo uredbe EU glede COVID-19 le dva tedna po tem, ko je bila sprejeta, dokumenti o vojni v Ukrajini pa so bili razporejeni le nekaj dni po presenetljivi ruski invaziji na državo.

Nevarne zmogljivosti

Treba je opozoriti, da so hekerji vzpostavili tehnike protianalize, pa tudi prikrivanje nadzornega toka v vsaki fazi procesa uvajanja zlonamerne programske opreme, kar je značilnost redko vidna v drugih napadih. Zlonamerna programska oprema Hodur se sproži prek nakladalnika po meri, kar kaže, da se hekerji nenehno osredotočajo na ponovitev in ustvarjanje novih ogroženih orodij.

Ko je zlonamerna programska oprema Hodur v celoti nameščena, lahko prepozna dve veliki skupini ukazov. Prvi je sestavljen iz 7 različnih ukazov in se večinoma ukvarja z izvajanjem zlonamerne programske opreme ter začetnim izvidovanjem in zbiranjem podatkov, opravljenim na vlomljeni napravi. Druga skupina ukazov je veliko večja s skoraj 20 različnimi ukazi, povezanimi z zmožnostmi RAT grožnje. Hekerji lahko naročijo Hodurju, da navede vse preslikane pogone v sistemu ali vsebino določenega imenika, odpre ali zapiše datoteke, izvede ukaze na skritem namizju, odpre oddaljeno sejo cmd.exe in izvede ukaze, poišče datoteke, ki se ujemajo z navedenim vzorcem. in več.

V trendu

Najbolj gledan

Nalaganje...