Malware Hodur

Një malware i panjohur më parë është përdorur në një fushatë sulmi që i atribuohet grupit Mustang Panda APT (Kërcënimi i Përparuar i Përparuar). Grupi i krimit kibernetik njihet edhe si TA416, RedDelta ose PKPLUG. Kjo shtesë e re në arsenalin e saj kërcënues është quajtur Hodur nga studiuesit që zbuluan operacionin e sulmit dhe analizuan kërcënimin e malware. Sipas raportit të tyre, Hodur është një variant i bazuar në malware Korplug RAT . Për më tepër, ai ka një ngjashmëri të konsiderueshme me një variant tjetër të Korplug të njohur si THOR, i cili u dokumentua për herë të parë nga Njësia 42 në vitin 2020.

Fushata e sulmit

Operacioni për vendosjen e kërcënimit Hodur besohet të ketë filluar rreth gushtit 2021. Ai ndjek TTP-të tipike të Mustang Panda (Taktika, Teknika dhe Procedura). Viktimat e sulmit janë identifikuar në shumë vende të përhapura në disa kontinente. Makinat e infektuara janë identifikuar në Mongoli, Vietnam, Rusi, Greqi dhe vende të tjera. Objektivat ishin subjekte të lidhura me misionet diplomatike evropiane, ofruesit e shërbimeve të internetit (ISP) dhe organizatat kërkimore.

Vektori fillestar i infeksionit përfshinte shpërndarjen e dokumenteve joshëse që përfitojnë nga ngjarjet aktuale globale. Në të vërtetë, Mustang Panda është ende duke demonstruar aftësinë e saj për të përditësuar shpejt dokumentet e tyre të mashtrimit për të shfrytëzuar çdo ngjarje të rëndësishme. Grupi u zbulua duke përdorur një rregullore të BE-së në lidhje me COVID-19 vetëm dy javë pasi u miratua dhe dokumentet për luftën në Ukrainë u vendosën vetëm disa ditë pas pushtimit befasues rus të vendit.

Aftësitë kërcënuese

Duhet të theksohet se hakerët kanë krijuar teknika anti-analizë, si dhe errësimin e rrjedhës së kontrollit në çdo fazë të procesit të vendosjes së malware, një karakteristikë e parë rrallë në fushatat e tjera të sulmit. Malware-i Hodur inicohet nëpërmjet një ngarkuesi me porosi, duke shfaqur fokusin e vazhdueshëm të hakerëve në përsëritjen dhe krijimin e mjeteve të reja kërcënuese.

Malware Hodur, pasi të vendoset plotësisht, mund të njohë dy grupe të mëdha komandash. E para përbëhet nga 7 komanda të veçanta dhe ka të bëjë kryesisht me ekzekutimin e malware dhe zbulimin fillestar dhe mbledhjen e të dhënave të kryera në pajisjen e shkelur. Grupi i dytë i komandës është shumë më i madh me gati 20 komanda të ndryshme që lidhen me aftësitë RAT të kërcënimit. Hakerët mund ta udhëzojnë Hodur që të listojë të gjitha disqet e hartës në sistem ose përmbajtjen e një drejtorie specifike, të hapë ose shkruajë skedarë, të ekzekutojë komanda në një desktop të fshehur, të hapë një seancë cmd.exe në distancë dhe të ekzekutojë komanda, të gjejë skedarë që përputhen me një model të dhënë dhe me shume.