Hodur Malware

Mustang Panda APT (Gelişmiş Kalıcı Tehdit) grubuna atfedilen bir saldırı kampanyasında önceden bilinmeyen bir kötü amaçlı yazılım kullanıldı. Siber suç grubu ayrıca TA416, RedDelta veya PKPLUG olarak da bilinir. Tehdit edici cephaneliğine eklenen bu yeni ilave, saldırı operasyonunu ortaya çıkaran ve kötü amaçlı yazılım tehdidini analiz eden araştırmacılar tarafından Hodur olarak adlandırıldı. Raporlarına göre, Hodur, Korplug RAT kötü amaçlı yazılımına dayanan bir varyanttır. Ayrıca, 2020'de Ünite 42 tarafından ilk kez belgelenen THOR olarak bilinen başka bir Korplug varyantına önemli ölçüde benzerlik göstermektedir.

Saldırı Kampanyası

Hodur tehdidini dağıtan operasyonun Ağustos 2021 civarında başladığına inanılıyor. Tipik Mustang Panda TTP'lerini (Taktikler, Teknikler ve Prosedürler) takip ediyor. Saldırının kurbanları, birkaç kıtaya yayılmış birden fazla ülkede tespit edildi. Virüslü makineler Moğolistan, Vietnam, Rusya, Yunanistan ve diğer ülkelerde tespit edildi. Hedefler, Avrupa diplomatik misyonları, İnternet Servis Sağlayıcıları (ISS'ler) ve araştırma kuruluşları ile ilişkili kuruluşlardı.

İlk enfeksiyon vektörü, mevcut küresel olaylardan yararlanan cazibe belgelerinin yayılmasını içeriyordu. Gerçekten de Mustang Panda, herhangi bir önemli olaydan yararlanmak için sahte belgelerini hızla güncelleme yeteneğini hala gösteriyor. Grup, yürürlüğe girmesinden sadece iki hafta sonra COVID-19 ile ilgili bir AB yönetmeliği kullanılarak keşfedildi ve Ukrayna'daki savaşla ilgili belgeler, ülkeyi sürpriz bir şekilde Rus işgalinden birkaç gün sonra konuşlandırıldı.

Tehdit Edici Yetenekler

Bilgisayar korsanlarının, diğer saldırı kampanyalarında nadiren görülen bir özellik olan, kötü amaçlı yazılım dağıtım sürecinin her aşamasında kontrol akışının karartılmasının yanı sıra anti-analiz teknikleri kurduklarına dikkat edilmelidir. Hodur kötü amaçlı yazılımı, özel bir yükleyici aracılığıyla başlatılır ve bilgisayar korsanlarının yeni tehdit araçları oluşturmaya ve yinelemeye odaklanmaya devam ettiğini gösterir.

Hodur kötü amaçlı yazılımı, tam olarak dağıtıldığında, iki büyük komut grubunu tanıyabilir. İlki 7 farklı komuttan oluşur ve çoğunlukla kötü amaçlı yazılımın yürütülmesi ve ihlal edilen cihazda gerçekleştirilen ilk keşif ve veri toplama ile ilgilidir. İkinci komut grubu, tehdidin RAT yetenekleriyle ilgili yaklaşık 20 farklı komutla çok daha büyüktür. Bilgisayar korsanları, Hodur'a sistemdeki tüm eşlenmiş sürücüleri veya belirli bir dizinin içeriğini listelemesini, dosyaları açmasını veya yazmasını, gizli bir masaüstünde komutları yürütmesini, uzak bir cmd.exe oturumunu açmasını ve komutları yürütmesini, sağlanan bir kalıpla eşleşen dosyaları bulmasını isteyebilir. ve dahası.