Hodurマルウェア

Mustang Panda APT（Advanced Persistent Threat）グループに起因する攻撃キャンペーンで、これまで知られていなかったマルウェアが使用されました。サイバー犯罪グループは、TA416、RedDelta、またはPKPLUGとしても知られています。その脅威的な武器へのこの新しい追加は、攻撃操作を発見し、マルウェアの脅威を分析した研究者によってHodurと名付けられました。彼らの報告によると、HodurはKorplugRATマルウェアに基づく亜種です。さらに、それはTHORとして知られている別のKorplugバリアントと非常によく似ています。これは、2020年にUnit42によって最初に文書化されました。

攻撃キャンペーン

Hodurの脅威を展開する作戦は、2021年8月頃に開始されたと考えられています。これは、典型的なムスタングパンダのTTP（戦術、技術、手順）に従います。攻撃の犠牲者は、複数の大陸にまたがる複数の国で確認されています。感染したマシンは、モンゴル、ベトナム、ロシア、ギリシャ、その他の国で確認されています。ターゲットは、ヨーロッパの外交使節団、インターネットサービスプロバイダー（ISP）、および研究機関に関連するエンティティでした。

最初の感染ベクトルには、現在の世界的な出来事を利用したルアー文書の普及が含まれていました。確かに、ムスタングパンダは、重要なイベントを悪用するためにおとり文書をすばやく更新する能力をまだ示しています。このグループは、COVID-19に関するEU規則を使用して、制定されてからわずか2週間後に発見され、ウクライナでの戦争に関する文書は、ロシアがロシアに突然侵入した数日後に展開されました。

脅迫能力

ハッカーは、他の攻撃キャンペーンではめったに見られない特徴である、マルウェア展開プロセスのすべての段階で、アンチアナリシス技術と制御フローの難読化を設定していることに注意してください。 Hodurマルウェアは、カスタムローダーを介して開始され、ハッカーが反復と新しい脅威ツールの作成に引き続き注力していることを示しています。

Hodurマルウェアは、完全に展開されると、2つの大きなコマンドグループを認識できます。最初のコマンドは7つの異なるコマンドで構成されており、主にマルウェアの実行と、侵害されたデバイスで実行される最初の偵察とデータ収集に関係しています。 2番目のコマンドグループははるかに大きく、脅威のRAT機能に関連する20近くの異なるコマンドがあります。ハッカーは、システムまたは特定のディレクトリのコンテンツにマップされたすべてのドライブを一覧表示し、ファイルを開いたり書き込んだり、非表示のデスクトップでコマンドを実行したり、リモートcmd.exeセッションを開いてコマンドを実行したり、提供されたパターンに一致するファイルを見つけたりするようにHodurに指示できます。もっと。