Hodur Malware

Mustang Panda APT(高級持續威脅)組的攻擊活動中使用了以前未知的惡意軟件。網絡犯罪組織也稱為 TA416、RedDelta 或 PKPLUG。發現攻擊操作並分析惡意軟件威脅的研究人員將其威脅性武器庫中的這一新成員命名為 Hodur。根據他們的報告,Hodur 是基於Korplug RAT惡意軟件的變體。此外,它與另一個被稱為 THOR 的 Korplug 變體非常相似,後者於 2020 年由 42 部隊首次記錄。

攻擊戰役

部署 Hodur 威脅的行動據信於 2021 年 8 月左右開始。它遵循典型的 Mustang Panda TTP(戰術、技術和程序)。襲擊的受害者已在遍布多個大洲的多個國家/地區確定。在蒙古、越南、俄羅斯、希臘和其他國家已經發現了受感染的機器。目標是與歐洲外交使團、互聯網服務提供商 (ISP) 和研究組織相關的實體。

最初的感染媒介涉及傳播利用當前全球事件的誘餌文件。事實上,Mustang Panda 仍在展示其快速更新誘餌文件以利用任何重大事件的能力。該組織是在歐盟關於 COVID-19 的法規頒布兩週後被發現的,有關烏克蘭戰爭的文件在俄羅斯出人意料地入侵該國幾天后部署。

威脅能力

值得注意的是,黑客在惡意軟件部署過程的每個階段都設置了反分析技術以及控制流混淆,這是其他攻擊活動中很少見的特徵。 Hodur 惡意軟件是通過自定義加載程序啟動的,表明黑客持續關注迭代和創建新的威脅工具。

Hodur 惡意軟件一旦完全部署,就可以識別兩大組命令。第一個由 7 個不同的命令組成,主要與執行惡意軟件以及在被破壞的設備上執行的初始偵察和數據收集有關。第二個命令組要大得多,有近 20 個與威脅的 RAT 功能相關的不同命令。黑客可以指示 Hodur 列出系統上所有映射的驅動器或特定目錄的內容、打開或寫入文件、在隱藏桌面上執行命令、打開遠程 cmd.exe 會話並執行命令、定位與提供的模式匹配的文件和更多。

熱門

最受關注

加載中...