Hodur Malware

Un logiciel malveillant jusque-là inconnu a été utilisé dans une campagne d'attaque attribuée au groupe Mustang Panda APT (Advanced Persistent Threat). Le groupe de cybercriminalité est également connu sous le nom de TA416, RedDelta ou PKPLUG. Ce nouvel ajout à son arsenal menaçant a été nommé Hodur par les chercheurs qui ont découvert l'opération d'attaque et analysé la menace de malware. Selon leur rapport, Hodur est une variante basée sur le malware Korplug RAT. De plus, il présente une ressemblance significative avec une autre variante de Korplug connue sous le nom de THOR, qui a été documentée pour la première fois par l'unité 42 en 2020.

Campagne d'attaque

L'opération de déploiement de la menace Hodur aurait commencé vers août 2021. Elle suit les TTP typiques de Mustang Panda (Tactiques, Techniques et Procédures). Des victimes de l'attaque ont été identifiées dans plusieurs pays répartis sur plusieurs continents. Des machines infectées ont été identifiées en Mongolie, au Vietnam, en Russie, en Grèce et dans d'autres pays. Les cibles étaient des entités associées à des missions diplomatiques européennes, des fournisseurs d'accès Internet (FAI) et des organismes de recherche.

Le vecteur d'infection initial impliquait la diffusion de documents leurres qui profitent des événements mondiaux actuels. En effet, Mustang Panda démontre encore sa capacité à mettre à jour rapidement ses documents leurres pour exploiter tout événement significatif. Le groupe a été découvert en utilisant un règlement de l'UE concernant le COVID-19 à peine deux semaines après sa promulgation et des documents sur la guerre en Ukraine ont été déployés quelques jours seulement après l'invasion surprise du pays par la Russie.

Capacités menaçantes

Il convient de noter que les pirates ont mis en place des techniques d'anti-analyse, ainsi que d'obscurcissement du flux de contrôle à chaque étape du processus de déploiement des logiciels malveillants, une caractéristique rarement vue dans d'autres campagnes d'attaque. Le logiciel malveillant Hodur est lancé via un chargeur personnalisé, ce qui montre que les pirates se concentrent en permanence sur l'itération et la création de nouveaux outils menaçants.

Le malware Hodur, une fois entièrement déployé, peut reconnaître deux grands groupes de commandes. La première se compose de 7 commandes distinctes et concerne principalement l'exécution du logiciel malveillant ainsi que la reconnaissance initiale et la collecte de données effectuées sur l'appareil piraté. Le deuxième groupe de commandes est beaucoup plus important avec près de 20 commandes différentes liées aux capacités RAT de la menace. Les pirates peuvent demander à Hodur de répertorier tous les lecteurs mappés sur le système ou le contenu d'un répertoire spécifique, d'ouvrir ou d'écrire des fichiers, d'exécuter des commandes sur un bureau caché, d'ouvrir une session cmd.exe distante et d'exécuter des commandes, de localiser des fichiers correspondant à un modèle fourni. et plus.