Sikkerhedsforskere opdagede en ny malware distribueret i en stadig igangværende ondsindet kampagne, kaldet Hodur. Malwaren ligner en tidligere malware, kaldet Thor, og var blevet tilskrevet den kinesiske Mustang Panda-trusselsgruppe.
Hodur Backdoor Malware-kampagne: Hvad der er kendt So Far
Mustang Panda trussel skuespillere var først opdaget i kampagner i 2019, distribuere forskellige makro-inficerede dokumenter. Angrebene var globale og var ikke kun begrænset til Kina. Hvad vi ved er, at gruppen oprindeligt begyndte at sprede malware ind 2018, men opgraderede så deres taktik til at inkludere nye procedurer. Nogle af 2019 angreb omfattede Kina Center (organisation uden fortjeneste), Vietnam politisk parti og beboere fra Sydøstasien.
Hvad angår den seneste Hodur malware-kampagne, den er stadig i gang og blev formentlig påbegyndt i august 2021.
Forskningsenheder, internetudbydere, og europæiske diplomatiske missioner har hidtil været mål, ifølge ESET-forskere. Hackerne bruger igen inficerede dokumenter til at narre brugere til at inficere, relateret til aktuelle begivenheder i Europa, som krigen i Ukraine og Covid-19. Det er bemærkelsesværdigt, at alle stadier af infektionen bruger anti-analyseteknikker og kontrol-flow sløring, som ikke er blevet brugt i tidligere kampagner af denne trusselsaktør.
Listen over berørte lande omfatter Mongoliet, Vietnam, Myanmar, Grækenland, Rusland, Cypern, Sydsudan, og Sydafrika. Trusselsaktørerne bruger tilpassede indlæsere til delt malware, såsom Cobalt Strike og Korplug malware.
Hodur-kampagnen er baseret på en legitim, gyldigt underskrevet, eksekverbar tilbøjelig til DLL-søgningsordrekapring, en ondsindet DLL, og en krypteret malware, som er indsat på ofrets system. Den eksekverbare indlæser modulet, som derefter dekrypterer og udfører Korplug RAT. I nogle tilfælde, en downloader bruges oprindeligt til at distribuere disse filer sammen med et falsk dokument, forskerne bemærkede. Infektionskæden slutter med implementeringen af Hodur-bagdøren på den kompromitterede maskine.
Bagdøren er i stand til at udføre en række kommandoer, gør det muligt for implantatet at indsamle omfattende systemdetaljer, læse og skrive vilkårlige filer, udføre kommandoer, og start en ekstern cmd.exe-session.