Nueva Variante de Korplug Propagada por Mustang Panda: PlugX RAT Nombrado Hodur
Tabla de contenidos:
Los investigadores advierten sobre una nueva campaña de ciberespionaje del notorio grupo APT Mustang Panda que ha estado en curso desde al menos agosto de 2021. Una variaciĂłn previamente no divulgada de Korplug (tambiĂ©n conocido como PlugX) herramienta de acceso remoto (RAT) ha estado atacando principalmente a organizaciones ucranianas y misiones diplomáticas europeas. La nueva variante de malware fue nombrada Hodur haciendo referencia a un hermano mitolĂłgico de Thor, porque THOR es tambiĂ©n el nombre de una variante de PlugX muy similar que se habĂa observado antes.
Hodur de Mustang Panda exploita el tema candente de la guerra en curso entre Rusia y Ucrania para entregar documentos maliciosos a través de correos electrónicos de phishing. Los documentos señuelo se actualizan frecuentemente y contienen cargadores personalizados que aprovechan técnicas anti-análisis y ofuscación del flujo de control.
DetecciĂłn de Nueva Variante de Korplug
Para detectar la actividad maliciosa asociada con la nueva variante de Korplug y mejorar proactivamente su defensa cibernĂ©tica contra los Ăşltimos cambios de Mustang Panda, puede referirse a una regla Sigma de nuestro prolĂfico desarrollador de Threat Bounty Furkan Celik. Esta regla puede usarse para detectar archivos con extensiones DLL y OCX.
Esta regla se traduce en los siguientes formatos de SIEM, EDR y XDR: Microsoft Sentinel, Chronicle Security, Elastic Stack, Splunk, Sumo Logic, ArcSight, QRadar, Humio, Microsoft Defender for Endpoint, Devo, FireEye, Carbon Black, LogPoint, Graylog, Regex Grep, Microsoft PowerShell, RSA NetWitness, Apache Kafka ksqlDB, Qualys, AWS OpenSearch.
La regla está alineada con el último marco de MITRE ATT&CK® v.10, abordando la táctica de Ejecución y la técnica de Ejecución por el Usuario (T1204).
Descubra nuestra extensa lista de artĂculos de detecciĂłn anteriores que cubren una amplia gama de ataques asociados con el malware Korplug (PlugX). Además, si está deseoso de crear su propio contenido de detecciĂłn para Korplug RAT and grupo APT Mustang Panda, u otras amenazas emergentes tambiĂ©n, está invitado a contribuir a nuestro Programa de Bonos de Amenazas.
Ver Detecciones Unirse al Programa de Bonos de Amenazas
Campañas Usando Korplug: Análisis del Malware Hodur
En sus correos electrĂłnicos de phishing, los atacantes tienden a actualizar continuamente los asuntos de los mensajes y documentos que envĂan. Por ejemplo, un archivo adjunto podrĂa llamarse “SituaciĂłn en las fronteras de la UE con Ucrania.exe”. De lo contrario, tambiĂ©n pueden adjuntar documentos infectados que parecen regulaciones del Parlamento Europeo y del Consejo o una nueva lista de restricciones de viaje por COVID-19.
Una vez que el ejecutable comienza a ejecutarse, descarga cuatro archivos HTTP:
- documento señuelo
- archivo EXE legĂtimo
- mĂłdulo malicioso
- archivo Korplug cifrado
Los tres últimos componentes trabajan juntos para lanzar la carga lateral de una carga útil DLL. Mientras tanto, se identifican funciones anti-análisis tanto en el cargador como en la carga útil.
La carga útil cifrada se escribe en la memoria del dispositivo en un archivo DAT y luego se descifra con el cargador. Los investigadores mencionan que la última variante de puerta trasera Korplug que llaman Hodur es algo diferente de las anteriores, pero es bastante similar a THOR cuando se trata del formato de los servidores de comando y control (C&C), la clave de registro SoftwareCLASSESms-pu, y el uso de clase de ventana estática.
Una vez descifrada, la puerta trasera se activa y al comprobar la ruta desde la que se está ejecutando, ya sea que ejecute la funcionalidad RAT o pase por un proceso de instalación y establezca persistencia.
The nueva variante de Korplug llamada Hodur demuestra un comportamiento intrincado y mejora iterativa de su funcionalidad codificada, incluso durante el curso de una campaña de phishing. Los documentos señuelo también se ajustan rápidamente de acuerdo con los últimos eventos perturbadores en el mundo. Como resultado, los equipos SOC se esfuerzan por actualizar y refinar sus defensas aún más rápido para no dar a los atacantes una ventaja en esta ciber-guerra. Únase a la plataforma de Detección como Código de SOC Prime para desbloquear el acceso al mayor pool en vivo del mundo de contenido de detección creado por expertos reputados en el campo, que se renueva de forma continua en respuesta a las últimas amenazas.
