Hodur Malware

En tidigare okänd skadlig programvara har använts i en attackkampanj som tillskrivs gruppen Mustang Panda APT (Advanced Persistent Threat). Cyberbrottsgruppen är också känd som TA416, RedDelta eller PKPLUG. Detta nya tillägg till dess hotfulla arsenal har fått namnet Hodur av forskarna som upptäckte attacken och analyserade hotet mot skadlig programvara. Enligt deras rapport är Hodur en variant baserad på Korplug RAT malware. Dessutom har den en betydande likhet med en annan Korplug-variant känd som THOR, som först dokumenterades av Unit 42 redan 2020.

Attackkampanj

Operationen som distribuerar Hodur-hotet tros ha startat runt augusti 2021. Den följer de typiska Mustang Panda TTP:erna (Tactics, Techniques and Procedures). Offren för attacken har identifierats i flera länder spridda över flera kontinenter. Infekterade maskiner har identifierats i Mongoliet, Vietnam, Ryssland, Grekland och andra länder. Målen var enheter associerade med europeiska diplomatiska beskickningar, Internet Service Providers (ISP) och forskningsorganisationer.

Den initiala infektionsvektorn involverade spridning av lockbetedokument som drar fördel av aktuella globala händelser. Faktum är att Mustang Panda fortfarande visar sin förmåga att snabbt uppdatera sina lockbetedokument för att utnyttja alla betydande händelser. Gruppen upptäcktes med hjälp av en EU-förordning angående covid-19 bara två veckor efter att den antogs och dokument om kriget i Ukraina sattes ut bara dagar efter den överraskande ryska invasionen av landet.

Hotande förmågor

Det bör noteras att hackarna har satt upp anti-analystekniker, såväl som kontrollflödesförvirring i varje skede av skadlig programdistribution, en egenskap som sällan sett i andra attackkampanjer. Hodur skadlig programvara initieras via en anpassad laddare, som visar hackarnas fortsatta fokus på iteration och skapande av nya hotfulla verktyg.

Hodur skadlig programvara kan, när den väl är fullt utplacerad, känna igen två stora grupper av kommandon. Det första består av 7 distinkta kommandon och handlar mest om att köra skadlig programvara och den initiala spaning och datainsamling som utförs på den skadade enheten. Den andra kommandogruppen är mycket större med nästan 20 olika kommandon relaterade till hotets RAT-kapacitet. Hackarna kan instruera Hodur att lista alla mappade enheter på systemet eller innehållet i en specifik katalog, öppna eller skriva filer, köra kommandon på ett dolt skrivbord, öppna en fjärrstyrd cmd.exe-session och köra kommandon, hitta filer som matchar ett angett mönster och mer.

Trendigt

Mest sedda

Läser in...