Hodur-Malware

Eine bisher unbekannte Malware wurde in einer Angriffskampagne verwendet, die der Gruppe Mustang Panda APT (Advanced Persistent Threat) zugeschrieben wird. Die Cybercrime-Gruppe ist auch als TA416, RedDelta oder PKPLUG bekannt. Diese neue Ergänzung seines Bedrohungsarsenals wurde von den Forschern, die die Angriffsoperation aufgedeckt und die Malware-Bedrohung analysiert haben, Hodur genannt. Laut ihrem Bericht handelt es sich bei Hodur um eine Variante, die auf der Malware Korplug RAT basiert. Darüber hinaus weist es eine erhebliche Ähnlichkeit mit einer anderen Korplug-Variante auf, die als THOR bekannt ist und erstmals 2020 von Unit 42 dokumentiert wurde.

Angriffskampagne

Es wird angenommen, dass die Operation zum Einsatz der Hodur-Bedrohung etwa im August 2021 begonnen hat. Sie folgt den typischen Mustang-Panda-TTPs (Taktiken, Techniken und Verfahren). Opfer des Angriffs wurden in mehreren Ländern auf mehreren Kontinenten identifiziert. Infizierte Maschinen wurden in der Mongolei, Vietnam, Russland, Griechenland und anderen Ländern identifiziert. Die Ziele waren Einrichtungen, die mit europäischen diplomatischen Vertretungen, Internetdienstanbietern (ISPs) und Forschungsorganisationen verbunden sind.

Der ursprüngliche Infektionsvektor beinhaltete die Verbreitung von Lockdokumenten, die sich aktuelle globale Ereignisse zunutze machen. Tatsächlich demonstriert Mustang Panda immer noch seine Fähigkeit, seine Lockvogeldokumente schnell zu aktualisieren, um jedes bedeutende Ereignis auszunutzen. Die Gruppe wurde mithilfe einer EU-Verordnung zu COVID-19 nur zwei Wochen nach deren Inkrafttreten entdeckt, und Dokumente über den Krieg in der Ukraine wurden nur wenige Tage nach der überraschenden russischen Invasion des Landes bereitgestellt.

Bedrohliche Fähigkeiten

Es sei darauf hingewiesen, dass die Hacker Anti-Analyse-Techniken sowie Control-Flow-Verschleierung in jeder Phase des Malware-Bereitstellungsprozesses eingerichtet haben, eine Eigenschaft, die bei anderen Angriffskampagnen selten vorkommt. Die Hodur-Malware wird über einen benutzerdefinierten Loader initiiert, was den anhaltenden Fokus der Hacker auf die Iteration und Erstellung neuer Bedrohungstools zeigt.

Die Hodur-Malware kann, sobald sie vollständig implementiert ist, zwei große Gruppen von Befehlen erkennen. Der erste besteht aus 7 verschiedenen Befehlen und befasst sich hauptsächlich mit der Ausführung der Malware und der anfänglichen Aufklärung und Datenerfassung auf dem angegriffenen Gerät. Die zweite Befehlsgruppe ist mit fast 20 verschiedenen Befehlen, die sich auf die RAT-Fähigkeiten der Bedrohung beziehen, viel größer. Die Hacker können Hodur anweisen, alle zugeordneten Laufwerke auf dem System oder den Inhalt eines bestimmten Verzeichnisses aufzulisten, Dateien zu öffnen oder zu schreiben, Befehle auf einem versteckten Desktop auszuführen, eine Remote-cmd.exe-Sitzung zu öffnen und Befehle auszuführen, Dateien zu finden, die einem bereitgestellten Muster entsprechen und mehr.