マスタングパンダによる新しいKorplug変種の拡散：Hodurと名付けられたPlugX RAT

研究者たちは、新しい サイバースパイ活動 について警告しています。これは、悪名高いMustang Panda APTグループによって、少なくとも2021年8月から続いています。以前には公開されていなかったバリエーションの Korplug (PlugXとも呼ばれる) リモートアクセスツール（RAT）が主にウクライナの組織や欧州の外交ミッションを標的にしています。この新しいマルウェアは、神話におけるThorの兄弟に因んでHodurと名付けられました。なぜなら、THORは以前観察された非常に類似したPlugXの変種の名前でもあるからです。

Mustang PandaのHodur は、ロシアとウクライナの間で進行中の戦争というホットトピックを利用して、フィッシングメールを通じて悪意のある文書を配布します。おとり文書は頻繁に更新され、カスタムローダーを含み、分析防止技術と制御フロー難読化を活用しています。

新しいKorplugバリアントの検出

新しいKorplugバリアントに関連する悪意のある活動を検出し、Mustang Pandaによる最新の動向に対してサイバー防御を事前に強化するために、我々の優秀なThreat BountyデベロッパーFurkan CelikによるSigmaルールを参照することができます。このルールは、DLLおよびOCX拡張子のファイルを検出するために使用できます。

Korplugバックドアの使用による疑わしいMustang Pandaの実行（via file_event）

このルールは、Microsoft Sentinel、Chronicle Security、Elastic Stack、Splunk、Sumo Logic、ArcSight、QRadar、Humio、Microsoft Defender for Endpoint、Devo、FireEye、Carbon Black、LogPoint、Graylog、Regex Grep、Microsoft PowerShell、RSA NetWitness、Apache Kafka ksqlDB、Qualys、AWS OpenSearchの各SIEM、EDR、およびXDRフォーマットに変換されています。

このルールは、MITRE ATT&CK®フレームワークv.10の最新バージョンに対応しており、実行戦術およびユーザー実行（T1204）技術に対応しています。

Korplug（PlugX）マルウェアに関連する広範な攻撃をカバーする、以前の検出アイテムのリストをご覧ください。また、ご自身で Korplug RAT and Mustang Panda APTグループ、または他の新たな脅威に対する検出コンテンツを作成したい場合は、我々のThreat Bountyプログラムに貢献することができます。

検出を表示 Threat Bountyに参加

Korplugを使用したキャンペーン：Hodurマルウェア分析

フィッシングメールでは、攻撃者はメッセージやドキュメントに送る件名を継続的に更新する傾向があります。例えば、添付ファイルは「Situation at the EU borders with Ukraine.exe」と名付けられているかもしれません。さもなければ、欧州議会および委員会の規則や新しいCOVID-19旅行制限リストのように見える感染した文書を添付することもできます。

実行可能ファイルが動作を開始すると、4つのHTTPファイルをダウンロードします。

• おとり文書
• 正当なEXEファイル
• 悪意のあるモジュール
• 暗号化されたKorplugファイル

最後の3つのコンポーネントが連携してDLLペイロードのサイドローディングを開始します。一方、ローダーとペイロードの両方に分析防止機能が特定されます。

暗号化されたペイロードはデバイスのメモリにDATファイルとして書き込まれ、その後、ローダーで復号されます。研究者は、Hodurと呼ばれる Korplugバックドア の最新バージョンが以前のものとやや異なるが、コマンド＆コントロール（C＆C）サーバー形式、SoftwareCLASSESms-puレジストリキー、Static window classの使用ではTHORと非常に似ていると述べています。

復号されると、バックドアはアクティブになり、それを実行しているパスを確認すると、RAT機能を実行するか、インストールプロセスを経て永続性を確立します。

The 新しいKorplugバリアント Hodurと呼ばれるものは、フィッシングキャンペーンが進行する中でそのハードコードされた機能性の複雑な振る舞いと反復的な改良を示しています。おとり文書もまた、世界の最新の不穏な出来事に応じて迅速に調整されます。その結果、SOCチームは、このサイバー戦争で攻撃者に優位を与えないために防御をより迅速にアップグレードし洗練する必要があります。 SOC PrimeのDetection as Code プラットフォームに参加して、著名な分野の専門家によって作成された世界最大級のライブ検出コンテンツプールへのアクセスを解放しましょう。このプールは、最新の脅威に対応して継続的に更新されます。