Nova Variante do Korplug Espalhada por Mustang Panda: PlugX RAT Nomeado Hodur
Índice:
Pesquisadores alertam sobre uma nova campanha de ciberespionagem pelo notório grupo APT Mustang Panda que está em andamento desde pelo menos agosto de 2021. Uma variação previamente não divulgada do Korplug (também conhecido como PlugX) ferramenta de acesso remoto (RAT) tem como alvo principalmente organizações ucranianas e missões diplomáticas europeias. A nova cepa de malware foi chamada de Hodur, referenciando um irmão mitológico de Thor, porque THOR também é o nome de uma variante muito semelhante ao PlugX que já havia sido observada antes.
Hodur do Mustang Panda explora o tema quente de uma guerra em andamento entre Rússia e Ucrânia para entregar documentos maliciosos através de emails de phishing. Documentos de isca são frequentemente atualizados e contêm carregadores personalizados que utilizam técnicas de anti-análise e obfuscação do fluxo de controle.
Nova Detecção de Variante do Korplug
Para detectar a atividade maliciosa associada à nova variante do Korplug e aprimorar proativamente sua defesa cibernética contra as alterações mais recentes pelo Mustang Panda, você pode se referir a uma regra Sigma criada pelo nosso prolífico desenvolvedor do Threat Bounty, Furkan Celik. Esta regra pode ser usada para detectar arquivos com extensões DLL e OCX.
Execução Suspeita do Mustang Panda pelo Uso de Backdoor Korplug (via file_event)
Esta regra é traduzida nos seguintes formatos SIEM, EDR e XDR: Microsoft Sentinel, Chronicle Security, Elastic Stack, Splunk, Sumo Logic, ArcSight, QRadar, Humio, Microsoft Defender for Endpoint, Devo, FireEye, Carbon Black, LogPoint, Graylog, Regex Grep, Microsoft PowerShell, RSA NetWitness, Apache Kafka ksqlDB, Qualys, AWS OpenSearch.
A regra está alinhada com a última versão do framework MITRE ATT&CK® v.10, abordando a tática de Execução e a técnica de Execução pelo Usuário (T1204).
Descubra nossa extensa lista de itens de detecção anteriores que cobrem uma ampla gama de ataques associados ao malware Korplug (PlugX). Além disso, se você deseja criar seu próprio conteúdo de detecção para RAT Korplug and grupo APT Mustang Panda, ou outras ameaças emergentes também, você é bem-vindo para contribuir com o nosso Programa de Recompensa por Ameaças.
Ver Detecções Participar do Recompensa por Ameaças
Campanhas Usando Korplug: Análise do Malware Hodur
Em seus emails de phishing, os atacantes tendem a atualizar continuamente os assuntos das mensagens e documentos que enviam. Por exemplo, um arquivo anexo pode se chamar “Situation at the EU borders with Ukraine.exe”. Caso contrário, eles também podem anexar documentos infectados que parecem ser regulamentos do Parlamento Europeu e do Conselho ou uma nova lista de restrições de viagem por COVID-19.
Uma vez que o executável começa a rodar, ele baixa quatro arquivos HTTP:
- documento de isca
- arquivo EXE legítimo
- módulo malicioso
- arquivo Korplug criptografado
Os três últimos componentes trabalham juntos para iniciar o carregamento lateral de uma carga útil DLL. Enquanto isso, funções de anti-análise são identificadas tanto no carregador quanto na carga útil.
A carga útil criptografada escreve na memória de um dispositivo em um arquivo DAT e depois é decriptada com o carregador. Pesquisadores mencionam que a última variante do backdoor Korplug que eles chamam de Hodur é um pouco diferente das anteriores, mas bem similar ao THOR quando se trata do formato dos servidores de comando e controle (C&C), chave de registro SoftwareCLASSESms-pu e o uso de classe de janela Static.
Uma vez decriptado, o backdoor torna-se ativo e ao verificar o caminho de onde ele está sendo executado, ele ou executa a funcionalidade RAT ou passa por um processo de instalação e estabelece persistência.
The nova variante do Korplug chamada Hodur demonstra um comportamento intrincado e melhoria iterativa de sua funcionalidade hard-coded, mesmo ao longo de uma campanha de phishing. Documentos de isca também são rapidamente ajustados de acordo com os últimos eventos perturbadores no mundo. Como resultado, as equipes de SOC se esforçam para atualizar e refinar suas defesas ainda mais rápido para não dar vantagem aos atacantes nessa ciber-guerra. Junte-se à plataforma Detecção como Código da SOC Prime para desbloquear o acesso ao maior pool ao vivo de conteúdo de detecção criado por especialistas respeitados na área, que é continuamente renovado em resposta às ameaças mais recentes.
