Business
Trending
TechPulse op WhatsApp Android 15 nu beschikbaar Nieuwe iPad Mini Windows 11 24H2 zorgt voor problemen De beste SSD's
Wire
Business wire

In cyberspionagecampagne ontdekt ESET Research Hodur-malware die gebruikmaakt van de Oekraïnse invasie en andere Europese problemen

Mustang Panda, de cyberspionagegroep achter deze dreiging, richt zich op overheidsinstanties en NGO's in Oost- en Zuidoost-Azië en in sommige landen in Europa en Afrika.

ESET Research heeft een cyberspionagecampagne ontdekt met een voorheen niet gedocumenteerde Korplug-variant van de Mustang Panda APT-groep. De huidige campagne maakt gebruik van de oorlog in Oekraïne en andere Europese hot topics. Bekende slachtoffers zijn onder meer onderzoeksinstellingen, ISP’s en Europese diplomatieke missies die voornamelijk in Oost- en Zuidoost-Azië zijn gevestigd. ESET-onderzoekers noemden deze nieuwe variant van Korplug ‘Hodur’ vanwege de gelijkenis met de THOR-variant die in 2020 is gedocumenteerd. In de Noorse mythologie is Hodur de blinde halfbroer van Thor.

De slachtoffers van deze campagne worden wellicht gelokt door phishing-documenten die misbruik maken van de jongste gebeurtenissen in Europa, zoals de invasie van Oekraïne. Volgens het Hoge Commissariaat voor de Vluchtelingen zorgde de invasie ervoor dat al meer dan drie miljoen inwoners (three million residents) de oorlog ontvluchtten naar buurlanden, wat resulteerde in een ongekende crisis aan de grenzen van Oekraïne. Een van de bestandsnamen die verband houden met deze campagne is “EU-grenssituatie met Oekraïne.exe”.
Andere phishing-lokmiddelen vermelden bijgewerkte COVID-19-reisbeperkingen, een kaart met goedgekeurde regionale steun voor Griekenland en een verordening van het Europees Parlement en de Europese Raad. Het nieuwste lokmiddel is een echt document dat beschikbaar is op de website van de Europese Raad. Hieruit blijkt dat de groep achter deze campagne het nieuws volgt en succesvol en snel erop kan reageren.


“Op basis van codeovereenkomsten en heel wat overeenkomsten in tactiek, technieken en procedures, schrijven ESET-onderzoekers deze campagne met zekerheid toe aan Mustang Panda, bekend als TA416, RedDelta of PKPLUG, cyberspionage die zich voornamelijk richt op overheidsinstanties en NGO’s”, zegt Alexandre Côté Cyr, malware onderzoeker bij ESET, die Hodur ontdekte. De slachtoffers van de Mustang Panda bevinden zich voornamelijk, maar niet uitsluitend, in Oost-Azië. De groep staat ook bekend om zijn campagne gericht op het Vaticaan in 2020 (campaign targeting the Vatican in 2020).


Hoewel de ESET-onderzoekers niet alle slachtoffers konden identificeren, lijkt de campagne dezelfde doelwitten te hebben als andere Mustang Panda-campagnes. Volgens de typische APT-victimology bevinden de meeste slachtoffers zich in Oost- en Zuidoost-Azië, alsook in Europese en Afrikaanse landen. Volgens ESET-telemetrie bevinden de meeste doelwitten zich in Mongolië en Vietnam, gevolgd door Myanmar, met enkele in andere landen, zoals Griekenland, Cyprus, Rusland, Zuid-Soedan en Afrika vanuit het zuiden. De geïdentificeerde verticals zijn onder meer diplomatieke missies, onderzoekentiteiten en ISP’s.


De campagnes van Mustang Panda gebruiken vaak aangepaste laders voor gedeelde malware, waaronder Cobalt Strike, Poison Ivy en Korplug (ook bekend als PlugX). De groep is ook bekend voor het creëren van hun eigen Korplug-variaties. “Vergeleken met andere campagnes die Korplug gebruiken, maakt elke stap van het implementatieproces gebruik van anti-analyse- en technieken voor controlestroomverduistering, wat het voor ons malware-onderzoekers moeilijker maakt om te onderzoeken”, besluit Côté Cyr.
Lees voor diepgaande technische analyse de blog op www.welivesecurity en volg ESET Research on Twitter voor de nieuwste info over ESET Research.

  • Deze campagne dateert ten minste van augustus 2021 en loopt nog in maart 2022.
  • Mustang Panda, de APT-groep achter de campagne, richt zich voornamelijk op regeringen en NGO’s. De meeste slachtoffers zijn in Oost- en Zuidoost-Azië, maar een paar zijn in Europa (Griekenland, Cyprus, Rusland) en Afrika (Zuid-Afrika, Zuid-Soedan).
  • Bekende slachtoffers zijn onder meer onderzoeksinstellingen, internetserviceproviders en Europese diplomatieke missies.
  • De compromisketen bevat regelmatig bijgewerkte lokdocumenten met betrekking tot gebeurtenissen in Europa en de oorlog in Oekraïne.
  • De campagne gebruikt een aangepaste lader om Hodur uit te voeren, een nieuwe variant van Korplug.
  • Elke fase van het implementatieproces maakt gebruik van anti-analyse- en controle-stroomverduisteringstechnieken, waardoor het zich onderscheidt van andere campagnes.

Dit artikel is geschreven door één van onze partners. Onze redactie is niet verantwoordelijk voor de inhoud.

partnerinfo
Business wire

Gerelateerde artikelen

Nieuwsbrief

Volg ons

Instagram
YouTube
€350 korting op de Tenways CGO600

€350 korting op de Tenways CGO600

Bekijk de CGO600

Trending berichten

Business