Chinese ‚Mustang Panda‘-hackers gespot met nieuwe ‚Hodur‘-malware

panda mustang Nachrichten

Een in China gevestigde Advanced Persistent Threat (APT), bekend als: Mustang Panda is gekoppeld aan een lopende cyberspionagecampagne met behulp van een voorheen ongedocumenteerde variant van de PlugX trojan voor externe toegang op geïnfecteerde machines.

Slowaaks cyberbeveiligingsbedrijf ESET noemde de nieuwe versie Hodurvanwege de gelijkenis met een andere PlugX (ook bekend als Korplug) variant genaamd THOR die in juli 2021 aan het licht kwam.

„De meeste slachtoffers bevinden zich in Oost- en Zuidoost-Azië, maar een paar bevinden zich in Europa (Griekenland, Cyprus, Rusland) en Afrika (Zuid-Afrika, Zuid-Soedan)“, malware-onderzoeker Alexandre Côté Cyr van ESET zei in een rapport gedeeld met The Hacker News.

„Bekende slachtoffers zijn onder meer onderzoeksinstellingen, internetserviceproviders (ISP’s) en Europese diplomatieke missies die zich voornamelijk in Oost- en Zuidoost-Azië bevinden.“

Mustang Panda, ook bekend als TA416, HoneyMyte, RedDelta of PKPLUG, is een cyberspionagegroep dat staat vooral bekend om zijn targeting op niet-gouvernementele organisaties met een specifieke focus op Mongolië.

De nieuwste campagne, die in ieder geval teruggaat tot augustus 2021, maakt gebruik van een compromisketen met een steeds evoluerende stapel lokdocumenten met betrekking tot de voortdurende gebeurtenissen in Europa en de oorlog in Oekraïne.

„Andere phishing-lokmiddelen noemen bijgewerkte reisbeperkingen voor COVID-19, een goedgekeurde regionale hulpkaart voor Griekenland en een verordening van het Europees Parlement en de Raad“, aldus ESET. „De laatste verleiding is een echt document dat beschikbaar is op de website van de Europese Raad. Hieruit blijkt dat de APT-groep achter deze campagne de actualiteit volgt en in staat is om met succes en snel daarop te reageren.“

Ongeacht het gebruikte phishing-lokmiddel, culmineren de infecties in de inzet van de Hodur-achterdeur op de gecompromitteerde Windows-host.

„De variant die in deze campagne wordt gebruikt, vertoont veel overeenkomsten met de THOR-variant, daarom hebben we hem Hodur genoemd“, legt hij uit. „De overeenkomsten zijn onder meer het gebruik van de registersleutel SoftwareCLASSESms-pu, hetzelfde formaat voor: [command-and-control] servers in de configuratie en het gebruik van de Static-vensterklasse.“

Hodur van zijn kant is uitgerust om een ​​verscheidenheid aan commando’s te verwerken, waardoor het implantaat uitgebreide systeeminformatie kan verzamelen, willekeurige bestanden kan lezen en schrijven, commando’s kan uitvoeren en een externe cmd.exe-sessie kan starten.

De bevindingen van ESET komen overeen met de openbare onthullingen van Google’s Threat Analysis Group (TAG) en Proofpoint, die beide eerder deze maand een Mustang Panda-campagne hebben beschreven om een ​​bijgewerkte PlugX-variant te verspreiden.

„De lokvogels die in deze campagne worden gebruikt, laten eens te meer zien hoe snel de Mustang Panda kan reageren op gebeurtenissen in de wereld“, zei Côté Cyr. „Deze groep demonstreert ook het vermogen om zijn tools iteratief te verbeteren, inclusief het kenmerkende gebruik van trident-downloaders om Korplug te implementeren.“

David
Rate author
Hackarizona