Nuova Variante di Korplug Diffusa da Mustang Panda: PlugX RAT Nomato Hodur

[post-views]
Marzo 30, 2022 · 4 min di lettura
Nuova Variante di Korplug Diffusa da Mustang Panda: PlugX RAT Nomato Hodur

I ricercatori avvertono di una nuova campagna di cyber spionaggio da parte del noto gruppo APT Mustang Panda che è in corso almeno da agosto 2021. Una variazione precedentemente non divulgata di Korplug (noto anche come PlugX) strumento di accesso remoto (RAT) ha preso di mira principalmente organizzazioni ucraine e missioni diplomatiche europee. La nuova variante del malware è stata chiamata Hodur in riferimento a un fratello mitologico di Thor, poiché THOR è anche il nome di una variante molto simile di PlugX che era stata osservata in precedenza.

Hodur di Mustang Panda sfrutta l’argomento caldo di una guerra in corso tra Russia e Ucraina per distribuire documenti dannosi tramite email di phishing. I documenti esca sono frequentemente aggiornati e contengono loader personalizzati che sfruttano tecniche anti-analisi e l’offuscamento del flusso di controllo.

Rilevamento della nuova variante di Korplug

Per rilevare l’attività dannosa associata alla nuova variante di Korplug e migliorare proattivamente le difese informatiche contro le ultime strategie di Mustang Panda, puoi fare riferimento a una regola Sigma del nostro prolifico sviluppatore Threat Bounty Furkan Celik. Questa regola può essere utilizzata per rilevare file con estensioni DLL e OCX.

Esecuzione sospetta di Mustang Panda mediante l’uso del backdoor Korplug (via file_event)

Questa regola è tradotta nei seguenti formati SIEM, EDR e XDR: Microsoft Sentinel, Chronicle Security, Elastic Stack, Splunk, Sumo Logic, ArcSight, QRadar, Humio, Microsoft Defender for Endpoint, Devo, FireEye, Carbon Black, LogPoint, Graylog, Regex Grep, Microsoft PowerShell, RSA NetWitness, Apache Kafka ksqlDB, Qualys, AWS OpenSearch.

La regola è allineata con il più recente framework MITRE ATT&CK® v.10, affrontando la tattica di Esecuzione e la tecnica di Esecuzione dell’utente (T1204).

Scopri l’elenco completo dei precedenti elementi di rilevamento che coprono un’ampia gamma di attacchi associati al malware Korplug (PlugX). Inoltre, se sei desideroso di creare il tuo contenuto di rilevamento per Korplug RAT and gruppo APT Mustang Panda, o altre minacce emergenti, sei invitato a contribuire al nostro Programma Threat Bounty.

Visualizza Rilevamenti Unisciti a Threat Bounty

Campagne che utilizzano Korplug: Analisi del malware Hodur

Nelle loro email di phishing, gli attaccanti tendono ad aggiornare continuamente i soggetti dei messaggi e i documenti che inviano. Ad esempio, un file allegato potrebbe essere denominato “Situazione ai confini dell’UE con l’Ucraina.exe”. In alternativa, possono anche allegare documenti infetti che sembrano regolamenti del Parlamento e del Consiglio europeo o una nuova lista di restrizioni di viaggio COVID-19.

Una volta che l’eseguibile inizia a funzionare, scarica quattro file HTTP:

  • documento esca
  • file EXE legittimo
  • modulo dannoso
  • file Korplug crittografato

Gli ultimi tre componenti lavorano insieme per avviare il side-loading di un payload DLL. Nel frattempo, le funzioni anti-analisi sono identificate sia nel loader che nel payload.

Il payload crittografato scrive sulla memoria di un dispositivo in un file DAT e poi viene decrittato con il loader. I ricercatori menzionano che l’ultima variante di backdoor Korplug che chiamano Hodur è in qualche modo diversa da quelle precedenti, ma è piuttosto simile a THOR quando si tratta del formato dei server di comando e controllo (C&C), chiave di registro SoftwareCLASSESms-pu, e l’uso della classe di finestra statica.

Una volta decrittato, il backdoor diventa attivo e al controllo del percorso da cui si sta eseguendo, esegue la funzionalità RAT o esegue un processo di installazione e stabilisce la persistenza.

The nuova variante di Korplug chiamata Hodur dimostra un comportamento intricato e un miglioramento iterativo della sua funzionalità hard-codata, anche nel corso di una campagna di phishing. I documenti esca si adattano rapidamente in base agli ultimi eventi inquietanti nel mondo. Di conseguenza, i team SOC si sforzano di aggiornare e perfezionare le loro difese ancora più velocemente per non dare un vantaggio agli attaccanti in questa guerra informatica. Unisciti a SOC Prime’s Detection as Code piattaforma per sbloccare l’accesso al più grande pool dal vivo di contenuti di rilevamento creati da esperti rinomati del settore che vengono rinnovati continuamente in risposta alle minacce più recenti.

Indice dei Contenuti

Questo articolo è stato utile?

Metti mi piace e condividilo con i tuoi colleghi.
Unisciti alla piattaforma Detection as Code di SOC Prime per migliorare la visibilità sulle minacce più rilevanti per il tuo business. Per aiutarti a iniziare e ottenere valore immediato, prenota ora un incontro con gli esperti di SOC Prime.
Iscriviti gratis Prenota un incontro

Articoli correlati

Prompt AI Personalizzati in Uncoder AI Consentono la Generazione di Rilevamenti su Richiesta
Blog, Piattaforma SOC Prime — 3 min di lettura
Prompt AI Personalizzati in Uncoder AI Consentono la Generazione di Rilevamenti su Richiesta
Steven Edwards
Rilevamento delle Attività del Gruppo XE: Dal Skimming delle Carte di Credito allo Sfruttamento delle Vulnerabilità Zero-Day VeraCore CVE-2024-57968 e CVE-2025-25181
Blog, Ultime Minacce — 4 min di lettura
Rilevamento delle Attività del Gruppo XE: Dal Skimming delle Carte di Credito allo Sfruttamento delle Vulnerabilità Zero-Day VeraCore CVE-2024-57968 e CVE-2025-25181
Veronika Telychko
Rilevamento CVE-2025-0411: Gruppi di criminali informatici russi sfruttano una vulnerabilità Zero-Day in 7-Zip per attaccare organizzazioni ucraine
Blog, Ultime Minacce — 6 min di lettura
Rilevamento CVE-2025-0411: Gruppi di criminali informatici russi sfruttano una vulnerabilità Zero-Day in 7-Zip per attaccare organizzazioni ucraine
Veronika Telychko