Шкідливе програмне забезпечення Hodur

Раніше невідоме зловмисне програмне забезпечення було використано в кампанії атаки, що належить до групи Mustang Panda APT (Advanced Persistent Threat). Група кіберзлочинців також відома як TA416, RedDelta або PKPLUG. Дослідники, які розкрили операцію атаки та проаналізували загрозу шкідливого програмного забезпечення, назвали це нове доповнення до свого арсеналу загроз. Згідно з їхнім звітом, Hodur — це варіант, заснований на шкідливому програмному забезпеченні Korplug RAT . Крім того, він має значну схожість з іншим варіантом Korplug, відомим як THOR, який вперше був задокументований Unit 42 ще у 2020 році.

Нападна кампанія

Вважається, що операція з розгортання загрози Hodur почалася приблизно в серпні 2021 року. Вона відповідає типовим TTPs Mustang Panda (тактика, техніка та процедури). Жертви атаки були ідентифіковані в кількох країнах на кількох континентах. Заражені машини виявлені в Монголії, В’єтнамі, Росії, Греції та інших країнах. Цілями були організації, пов'язані з європейськими дипломатичними представництвами, постачальники послуг Інтернету (ISP) та дослідницькі організації.

Початковий вектор зараження включав розповсюдження документів про приманку, які використовують переваги поточних глобальних подій. Справді, Mustang Panda все ще демонструє свою здатність швидко оновлювати свої документи-приманки, щоб використовувати будь-яку значущу подію. Група була виявлена за допомогою постанови ЄС щодо COVID-19 лише через два тижні після її введення, а документи про війну в Україні були розгорнуті лише через кілька днів після раптового вторгнення Росії в країну.

Загрозливі можливості

Слід зазначити, що хакери встановили методи антианалізу, а також обфускацію потоку керування на кожному етапі процесу розгортання зловмисного програмного забезпечення, що рідко зустрічається в інших кампаніях атак. Шкідливе програмне забезпечення Hodur ініціюється за допомогою спеціального завантажувача, що демонструє постійну увагу хакерів на ітерації та створенні нових загрозливих інструментів.

Після повного розгортання шкідливе програмне забезпечення Hodur може розпізнавати дві великі групи команд. Перший складається з 7 окремих команд і в основному стосується виконання шкідливого програмного забезпечення та первинної розвідки та збору даних на зламаному пристрої. Друга група команд набагато більша з майже 20 різними командами, пов’язаними з можливостями RAT загрози. Хакери можуть доручити Hodur перерахувати всі підключені диски в системі або вміст певного каталогу, відкривати або записувати файли, виконувати команди на прихованому робочому столі, відкривати віддалений сеанс cmd.exe і виконувати команди, знаходити файли, що відповідають заданому шаблону. і більше.