Neue Korplug-Variante von Mustang Panda verbreitet: PlugX RAT namens Hodur

[post-views]
März 30, 2022 · 4 min zu lesen
Neue Korplug-Variante von Mustang Panda verbreitet: PlugX RAT namens Hodur

Forscher warnen vor einer neuen Cyber-Spionage-Kampagne durch die berüchtigte Mustang Panda APT-Gruppe, die seit mindestens August 2021 andauert. Eine bisher nicht offengelegte Variante von Korplug (auch bekannt als PlugX) Remote Access Tool (RAT) hat hauptsächlich ukrainische Organisationen und europäische diplomatische Missionen ins Visier genommen. Der neue Malware-Strang wurde Hodur genannt, in Anspielung auf einen mythischen Bruder von Thor, da THOR ebenfalls der Name einer sehr ähnlichen PlugX-Variante ist, die zuvor beobachtet wurde.

Mustang Pandas Hodur nutzt das heiße Thema eines laufenden Kriegs zwischen Russland und der Ukraine, um bösartige Dokumente durch Phishing-E-Mails zu verbreiten. Lockdokumente werden häufig aktualisiert und enthalten benutzerdefinierte Loader, die Anti-Analyse-Techniken und Kontrollefluss-Obfuskation nutzen.

Erkennung der neuen Korplug-Variante

Um die bösartigen Aktivitäten im Zusammenhang mit der neuen Korplug-Variante zu erkennen und Ihre Cyber-Abwehr gegen die neuesten Verschiebungen von Mustang Panda proaktiv zu verbessern, können Sie auf eine Sigma-Regel unseres produktiven Threat-Bounty-Entwicklers Furkan Celik zurückgreifen. Diese Regel kann verwendet werden, um Dateien mit den Erweiterungen DLL und OCX zu erkennen.

Verdächtige Mustang Panda-Ausführung durch Verwendung der Korplug-Hintertür (über file_event)

Diese Regel ist in die folgenden SIEM-, EDR- und XDR-Formate übersetzt: Microsoft Sentinel, Chronicle Security, Elastic Stack, Splunk, Sumo Logic, ArcSight, QRadar, Humio, Microsoft Defender for Endpoint, Devo, FireEye, Carbon Black, LogPoint, Graylog, Regex Grep, Microsoft PowerShell, RSA NetWitness, Apache Kafka ksqlDB, Qualys, AWS OpenSearch.

Die Regel stimmt mit dem neuesten MITRE ATT&CK®-Rahmenwerk v.10 überein und behandelt die Ausführungstaktik und die Benutzerausführung (T1204) Technik.

Entdecken Sie unsere umfangreiche Liste früherer Erkennungselemente, die eine Vielzahl von Angriffen im Zusammenhang mit Korplug (PlugX) Malware abdecken. Wenn Sie auch daran interessiert sind, Ihre eigenen Erkennungsinhalte zu erstellen für Korplug RAT and Mustang Panda APT-Gruppe, oder andere aufkommende Bedrohungen sind Sie eingeladen, zu unserem Threat Bounty Programm beizutragen.

Detektionen anzeigen Threat Bounty beitreten

Kampagnen mit Korplug: Hodur-Malware-Analyse

In ihren Phishing-E-Mails neigen Angreifer dazu, die Betreffzeilen für Nachrichten und Dokumente, die sie senden, kontinuierlich zu aktualisieren. Beispielsweise könnte eine angehängte Datei den Namen „Situation an den EU-Grenzen zur Ukraine.exe“ tragen. Ansonsten können sie auch infizierte Dokumente anhängen, die wie Verordnungen des Europäischen Parlaments und des Rates oder eine neue COVID-19-Reiseliste aussehen.

Sobald die ausführbare Datei läuft, werden vier HTTP-Dateien heruntergeladen:

  • Köderdokument
  • legitime EXE-Datei
  • bösartiges Modul
  • verschlüsselte Korplug-Datei

Die letzten drei Komponenten arbeiten zusammen, um das Seitenladen einer DLL-Nutzlast zu starten. Unterdessen werden Anti-Analyse-Funktionen sowohl im Loader als auch in der Nutzlast identifiziert.

Die verschlüsselte Nutzlast wird in einer DAT-Datei in den Speicher eines Geräts geschrieben und dann mit dem Loader entschlüsselt. Forscher erwähnen, dass die neueste Variante der Korplug-Hintertür die sie Hodur nennen, sich etwas von den vorherigen unterscheidet, jedoch THOR sehr ähnlich ist, wenn es um das Format der Kommando- und Kontroll-(C&C)-Server, den Registrierungsschlüssel SoftwareCLASSESms-pu und die Verwendung von Static Window Class geht.

Sobald sie entschlüsselt ist, wird die Hintertür aktiv und überprüft, von welchem Pfad aus sie läuft, um entweder die RAT-Funktionalität auszuführen oder durch einen Installationsprozess zu gehen und Beharrlichkeit zu etablieren.

The neue Korplug-Variante genannt Hodur zeigt ein komplexes Verhalten und iterierende Verbesserung ihrer fest codierten Funktionen, selbst im Verlauf einer Phishing-Kampagne. Lockdokumente werden ebenfalls schnell an die neuesten beunruhigenden Ereignisse in der Welt angepasst. Infolgedessen bemühen sich SOC-Teams, ihre Verteidigung noch schneller zu aktualisieren und zu verfeinern, um den Angreifern in diesem Cyberkrieg keinen Vorteil zu lassen. SOC Primes Detection as Code Plattform, um Zugang zum weltweit größten Live-Pool an Erkennungsinhalten zu erhalten, der von angesehenen Experten auf diesem Gebiet erstellt wurde und kontinuierlich erneuert wird als Reaktion auf die neuesten Bedrohungen.

Inhaltsverzeichnis

War dieser Artikel hilfreich?

Gefällt es Ihnen, teilen Sie es mit Ihren Kollegen.
Treten Sie der Detection as Code-Plattform von SOC Prime bei um die Sichtbarkeit in Bedrohungen zu verbessern, die für Ihr Unternehmen am relevantesten sind. Um Ihnen den Einstieg zu erleichtern und sofortigen Nutzen zu bieten, buchen Sie jetzt ein Treffen mit SOC Prime-Experten.
Kostenlos beitreten Ein Treffen buchen

Verwandte Beiträge

Benutzerdefinierte KI-Aufforderungen in Uncoder AI ermöglichen On-Demand-Erkennungsgenerierung
Blog, SOC Prime Plattform — 2 min zu lesen
Benutzerdefinierte KI-Aufforderungen in Uncoder AI ermöglichen On-Demand-Erkennungsgenerierung
Steven Edwards
XE-Gruppenaktivitätserkennung: Von Kreditkarten-Skimming bis zur Ausnutzung der CVE-2024-57968 und CVE-2025-25181 VeraCore Zero-Day-Schwachstellen
Blog, Neueste Bedrohungen — 4 min zu lesen
XE-Gruppenaktivitätserkennung: Von Kreditkarten-Skimming bis zur Ausnutzung der CVE-2024-57968 und CVE-2025-25181 VeraCore Zero-Day-Schwachstellen
Veronika Telychko
CVE-2025-0411 Erkennung: Russische Cybercrime-Gruppen nutzen Zero-Day-Schwachstelle in 7-Zip, um ukrainische Organisationen anzugreifen
Blog, Neueste Bedrohungen — 4 min zu lesen
CVE-2025-0411 Erkennung: Russische Cybercrime-Gruppen nutzen Zero-Day-Schwachstelle in 7-Zip, um ukrainische Organisationen anzugreifen
Veronika Telychko