Hodur Malware

Un malware previamente desconocido se ha utilizado en una campaña de ataque atribuida al grupo Mustang Panda APT (Advanced Persistent Threat). El grupo de ciberdelincuencia también se conoce como TA416, RedDelta o PKPLUG. Esta nueva adición a su amenazante arsenal ha sido nombrada Hodur por los investigadores que descubrieron la operación de ataque y analizaron la amenaza del malware. Según su informe, Hodur es una variante basada en el malware Korplug RAT. Además, tiene un parecido significativo con otra variante de Korplug conocida como THOR, que fue documentada por primera vez por la Unidad 42 en 2020.

Campaña de ataque

Se cree que la operación que desplegó la amenaza Hodur comenzó alrededor de agosto de 2021. Sigue los típicos TTP (Tácticas, Técnicas y Procedimientos) de Mustang Panda. Se han identificado víctimas del ataque en múltiples países repartidos por varios continentes. Se han identificado máquinas infectadas en Mongolia, Vietnam, Rusia, Grecia y otros países. Los objetivos eran entidades asociadas con misiones diplomáticas europeas, proveedores de servicios de Internet (ISP) y organizaciones de investigación.

El vector de infección inicial implicó la difusión de documentos atractivos que aprovechan los eventos mundiales actuales. De hecho, Mustang Panda todavía está demostrando su capacidad para actualizar rápidamente sus documentos de señuelo para aprovechar cualquier evento significativo. El grupo fue descubierto utilizando una regulación de la UE con respecto a COVID-19 apenas dos semanas después de su promulgación y los documentos sobre la guerra en Ucrania se desplegaron solo días después de la sorpresiva invasión rusa del país.

Capacidades amenazantes

Cabe señalar que los piratas informáticos han establecido técnicas antianálisis, así como ofuscación del flujo de control en cada etapa del proceso de implementación de malware, una característica que rara vez se ve en otras campañas de ataque. El malware Hodur se inicia a través de un cargador personalizado, lo que demuestra el enfoque continuo de los piratas informáticos en la iteración y la creación de nuevas herramientas amenazantes.

El malware Hodur, una vez implementado por completo, puede reconocer dos grandes grupos de comandos. El primero consta de 7 comandos distintos y se ocupa principalmente de ejecutar el malware y el reconocimiento inicial y la recopilación de datos realizados en el dispositivo violado. El segundo grupo de comandos es mucho más grande con casi 20 comandos diferentes relacionados con las capacidades RAT de la amenaza. Los piratas informáticos pueden indicar a Hodur que enumere todas las unidades asignadas en el sistema o el contenido de un directorio específico, abra o escriba archivos, ejecute comandos en un escritorio oculto, abra una sesión remota de cmd.exe y ejecute comandos, ubique archivos que coincidan con un patrón proporcionado. y más.

Tendencias

Mas Visto

Cargando...