Hodur Malware

以前未知的恶意软件已被用于归因于 Mustang Panda APT（高级持续威胁）组的攻击活动。网络犯罪组织也称为 TA416、RedDelta 或 PKPLUG。发现攻击行动并分析恶意软件威胁的研究人员将其威胁性武器库中的这一新成员命名为 Hodur。根据他们的报告，Hodur 是基于Korplug RAT恶意软件的变体。此外，它与另一个被称为 THOR 的 Korplug 变体非常相似，后者于 2020 年由 42 部队首次记录。

攻击战役

部署 Hodur 威胁的行动据信于 2021 年 8 月左右开始。它遵循典型的 Mustang Panda TTP（战术、技术和程序）。袭击的受害者已在分布在几个大洲的多个国家/地区确定。在蒙古、越南、俄罗斯、希腊和其他国家已经发现了受感染的机器。目标是与欧洲外交使团、互联网服务提供商 (ISP) 和研究组织相关的实体。

最初的感染媒介涉及传播利用当前全球事件的诱饵文件。事实上，Mustang Panda 仍在展示其快速更新诱饵文件以利用任何重大事件的能力。该组织是在欧盟关于 COVID-19 的法规颁布两周后被发现的，有关乌克兰战争的文件在俄罗斯出人意料地入侵该国几天后部署。

威胁能力

值得注意的是，黑客在恶意软件部署过程的每个阶段都设置了反分析技术以及控制流混淆，这是其他攻击活动中很少见的特征。 Hodur 恶意软件是通过自定义加载程序启动的，表明黑客持续关注迭代和创建新的威胁工具。

Hodur 恶意软件一旦完全部署，就可以识别两大组命令。第一个由 7 个不同的命令组成，主要与执行恶意软件以及在被破坏的设备上执行的初始侦察和数据收集有关。第二个命令组要大得多，有近 20 个与威胁的 RAT 功能相关的不同命令。黑客可以指示 Hodur 列出系统上所有映射的驱动器或特定目录的内容，打开或写入文件，在隐藏的桌面上执行命令，打开远程 cmd.exe 会话并执行命令，定位与提供的模式匹配的文件和更多。