Nouvelle Variante de Korplug Propagée par Mustang Panda : PlugX RAT Nommé Hodur
Table des matières :
Les chercheurs avertissent d’une nouvelle campagne de cyberespionnage par le célèbre groupe APT Mustang Panda qui est en cours depuis au moins août 2021. Une variation auparavant non divulguée de Korplug (également connu sous le nom de PlugX) outil d’accès à distance (RAT) a visé principalement des organisations ukrainiennes et des missions diplomatiques européennes. La nouvelle souche de malware a été nommée Hodur en référence à un frère mythologique de Thor, car THOR est également le nom d’une variante très similaire de PlugX qui avait été observée auparavant.
Le Hodur de Mustang Panda exploite le sujet brûlant d’une guerre en cours entre la Russie et l’Ukraine pour délivrer des documents malveillants par le biais de courriels de phishing. Les documents leurres sont fréquemment mis à jour et contiennent des chargeurs personnalisés qui utilisent des techniques anti-analyse et d’obfuscation du flux de contrôle.
Détection de la nouvelle variante de Korplug
Pour détecter l’activité malveillante associée à la nouvelle variante de Korplug et améliorer de manière proactive votre défense cyber contre les dernières évolutions de Mustang Panda, vous pouvez vous référer à une règle Sigma de notre développeur prolifique Threat Bounty, Furkan Celik. Cette règle peut être utilisée pour détecter des fichiers avec des extensions DLL et OCX.
Exécution suspecte de Mustang Panda par utilisation de la porte dérobée Korplug (via file_event)
Cette règle est traduite dans les formats SIEM, EDR et XDR suivants : Microsoft Sentinel, Chronicle Security, Elastic Stack, Splunk, Sumo Logic, ArcSight, QRadar, Humio, Microsoft Defender pour Endpoint, Devo, FireEye, Carbon Black, LogPoint, Graylog, Regex Grep, Microsoft PowerShell, RSA NetWitness, Apache Kafka ksqlDB, Qualys, AWS OpenSearch.
La règle est alignée sur le dernier cadre MITRE ATT&CK® v.10, visant la tactique d’Exécution et la technique d’Exécution par l’utilisateur (T1204).
Découvrez notre liste extensive d’éléments de détection précédents qui couvrent un large éventail d’attaques associées au malware Korplug (PlugX). De plus, si vous souhaitez créer votre propre contenu de détection pour Korplug RAT and groupe APT Mustang Panda, ou d’autres menaces émergentes également, vous êtes les bienvenus pour contribuer à notre Programme Threat Bounty.
Voir Détections Rejoindre Threat Bounty
Campagnes utilisant Korplug : Analyse du malware Hodur
Dans leurs courriels de phishing, les attaquants ont tendance à mettre continuellement à jour les sujets des messages et des documents qu’ils envoient. Par exemple, un fichier joint pourrait être nommé “Situation aux frontières de l’UE avec l’Ukraine.exe”. Sinon, ils peuvent également joindre des documents infectés ressemblant à des règlements du Parlement et du Conseil européens ou à une nouvelle liste de restrictions de voyage COVID-19.
Une fois que l’exécutable commence à s’exécuter, il télécharge quatre fichiers HTTP :
- document leurre
- fichier EXE légitime
- module malveillant
- fichier Korplug chiffré
Les trois derniers composants travaillent ensemble pour lancer le sideloading d’une charge utile DLL. Pendant ce temps, des fonctions anti-analyse sont identifiées à la fois dans le chargeur et la charge utile.
La charge utile chiffrée écrit dans la mémoire de l’appareil dans un fichier DAT puis se déchiffre avec le chargeur. Les chercheurs mentionnent que la dernière variante de porte dérobée Korplug qu’ils appellent Hodur est quelque peu différente des précédentes mais est très similaire à THOR en ce qui concerne le format des serveurs de commande et de contrôle (C&C), la clé de registre SoftwareCLASSESms-pu, et l’utilisation de la classe de fenêtre statique.
Une fois déchiffrée, la porte dérobée devient active et en vérifiant le chemin depuis lequel elle s’exécute, elle exécute soit la fonctionnalité RAT soit passe par un processus d’installation et établit la persistance.
The nouvelle variante de Korplug appelée Hodur démontre un comportement complexe et une amélioration itérative de sa fonctionnalité codée en dur, même au cours d’une campagne de phishing. Les documents leurres sont également rapidement ajustés en fonction des derniers événements troublants dans le monde. En conséquence, les équipes SOC s’efforcent de mettre à niveau et d’affiner leurs défenses encore plus rapidement pour ne pas donner l’avantage aux attaquants dans cette cyberguerre. Rejoignez la plateforme Detection as Code de SOC Prime pour débloquer l’accès au plus grand pool mondial de contenu de détection créé par des experts réputés dans le domaine qui est renouvelé en continu en réponse aux dernières menaces.
