マスタングパンダによる新しいKorplug変種の拡散:Hodurと名付けられたPlugX RAT

最新の脅威

3月 30, 2022

6 分で読めます

マスタングパンダによる新しいKorplug変種の拡散:Hodurと名付けられたPlugX RAT

Karolina Koval
Karolina Koval

Add to my AI research

ChatGPT icon Perplexity icon ClaudeAI icon Gemini icon
目次

週刊ダイジェストを購読

SOC Prime ユーザー限定

Newsletter Icon

研究者たちは、新しい サイバースパイ活動 について警告しています。これは、悪名高いMustang Panda APTグループによって、少なくとも2021年8月から続いています。以前には公開されていなかったバリエーションの Korplug (PlugXとも呼ばれる) リモートアクセスツール(RAT)が主にウクライナの組織や欧州の外交ミッションを標的にしています。この新しいマルウェアは、神話におけるThorの兄弟に因んでHodurと名付けられました。なぜなら、THORは以前観察された非常に類似したPlugXの変種の名前でもあるからです。

Mustang PandaのHodur は、ロシアとウクライナの間で進行中の戦争というホットトピックを利用して、フィッシングメールを通じて悪意のある文書を配布します。おとり文書は頻繁に更新され、カスタムローダーを含み、分析防止技術と制御フロー難読化を活用しています。

新しいKorplugバリアントの検出

新しいKorplugバリアントに関連する悪意のある活動を検出し、Mustang Pandaによる最新の動向に対してサイバー防御を事前に強化するために、我々の優秀なThreat BountyデベロッパーFurkan CelikによるSigmaルールを参照することができます。このルールは、DLLおよびOCX拡張子のファイルを検出するために使用できます。

Korplugバックドアの使用による疑わしいMustang Pandaの実行(via file_event)

このルールは、Microsoft Sentinel、Chronicle Security、Elastic Stack、Splunk、Sumo Logic、ArcSight、QRadar、Humio、Microsoft Defender for Endpoint、Devo、FireEye、Carbon Black、LogPoint、Graylog、Regex Grep、Microsoft PowerShell、RSA NetWitness、Apache Kafka ksqlDB、Qualys、AWS OpenSearchの各SIEM、EDR、およびXDRフォーマットに変換されています。

このルールは、MITRE ATT&CK®フレームワークv.10の最新バージョンに対応しており、実行戦術およびユーザー実行(T1204)技術に対応しています。

Korplug(PlugX)マルウェアに関連する広範な攻撃をカバーする、以前の検出アイテムのリストをご覧ください。また、ご自身で Korplug RAT and Mustang Panda APTグループ、または他の新たな脅威に対する検出コンテンツを作成したい場合は、我々のThreat Bountyプログラムに貢献することができます。

検出を表示 Threat Bountyに参加

Korplugを使用したキャンペーン:Hodurマルウェア分析

フィッシングメールでは、攻撃者はメッセージやドキュメントに送る件名を継続的に更新する傾向があります。例えば、添付ファイルは「Situation at the EU borders with Ukraine.exe」と名付けられているかもしれません。さもなければ、欧州議会および委員会の規則や新しいCOVID-19旅行制限リストのように見える感染した文書を添付することもできます。

実行可能ファイルが動作を開始すると、4つのHTTPファイルをダウンロードします。

  • おとり文書
  • 正当なEXEファイル
  • 悪意のあるモジュール
  • 暗号化されたKorplugファイル

最後の3つのコンポーネントが連携してDLLペイロードのサイドローディングを開始します。一方、ローダーとペイロードの両方に分析防止機能が特定されます。

暗号化されたペイロードはデバイスのメモリにDATファイルとして書き込まれ、その後、ローダーで復号されます。研究者は、Hodurと呼ばれる Korplugバックドア の最新バージョンが以前のものとやや異なるが、コマンド&コントロール(C&C)サーバー形式、SoftwareCLASSESms-puレジストリキー、Static window classの使用ではTHORと非常に似ていると述べています。

復号されると、バックドアはアクティブになり、それを実行しているパスを確認すると、RAT機能を実行するか、インストールプロセスを経て永続性を確立します。

The 新しいKorplugバリアント Hodurと呼ばれるものは、フィッシングキャンペーンが進行する中でそのハードコードされた機能性の複雑な振る舞いと反復的な改良を示しています。おとり文書もまた、世界の最新の不穏な出来事に応じて迅速に調整されます。その結果、SOCチームは、このサイバー戦争で攻撃者に優位を与えないために防御をより迅速にアップグレードし洗練する必要があります。 SOC PrimeのDetection as Code プラットフォームに参加して、著名な分野の専門家によって作成された世界最大級のライブ検出コンテンツプールへのアクセスを解放しましょう。このプールは、最新の脅威に対応して継続的に更新されます。

SOC PrimeのDetection as Codeプラットフォームに参加し ビジネスに最も関連性のある脅威に対する可視性を向上させましょう。開始して即座に価値をもたらすためには、今すぐSOC Primeの専門家とのミーティングを予約してください。
無料で参加 ミーティングを予約

More 最新の脅威 Articles

XE グループ活動の検出: クレジットカードスキミングから CVE-2024-57968 および CVE-2025-25181 VeraCore ゼロデイ脆弱性の悪用まで 6 分で読めます 最新の脅威 XE グループ活動の検出: クレジットカードスキミングから CVE-2024-57968 および CVE-2025-25181 VeraCore ゼロデイ脆弱性の悪用まで by Veronika Zahorulko CVE-2025-0411 検出: ロシアのサイバー犯罪グループ、ゼロデイ脆弱性を利用してウクライナ組織を標的に 8 分で読めます 最新の脅威 CVE-2025-0411 検出: ロシアのサイバー犯罪グループ、ゼロデイ脆弱性を利用してウクライナ組織を標的に by Veronika Zahorulko Lumma Stealer 検出: GitHub インフラを使用して SectopRAT、Vidar、Cobeacon およびその他のマルウェアを拡散する洗練されたキャンペーン 7 分で読めます 最新の脅威 Lumma Stealer 検出: GitHub インフラを使用して SectopRAT、Vidar、Cobeacon およびその他のマルウェアを拡散する洗練されたキャンペーン by Veronika Zahorulko