Sicherheitsforscher entdeckten eine neue Malware, die in einer noch andauernden böswilligen Kampagne verbreitet wurde, Hodur genannt. Die Malware ähnelt einer früheren Malware, Thor genannt, und wurde der chinesischen Bedrohungsgruppe Mustang Panda zugeschrieben.
Hodur Backdoor-Malware-Kampagne: Was ist bis jetzt bekannt
Die Mustang-Panda-Bedrohungsakteure waren erstmals in Kampagnen in entdeckt 2019, Verteilung verschiedener makroinfizierter Dokumente. Die Angriffe waren global und beschränkten sich nicht nur auf China. Was wir wissen, ist, dass die Gruppe ursprünglich damit begann, Malware zu verbreiten 2018, dann aber ihre Taktik um neue Verfahren erweitert. Einige der 2019 Zu den Angriffen gehörte das China Center (gemeinnützige Organisation), Vietnam politische Partei und Bewohner aus Südostasien.
Was die neueste Hodur-Malware-Kampagne betrifft, es dauert noch an und wurde wahrscheinlich im August eingeleitet 2021.
Forschungseinrichtungen, Internetanbieter, und europäische diplomatische Vertretungen wurden bisher ins Visier genommen, laut ESET-Forschern. Die Hacker verwenden erneut infizierte Dokumente, um Benutzer zur Infektion zu verleiten, zu aktuellen Ereignissen in Europa, wie der Krieg in der Ukraine und Covid-19. Es ist bemerkenswert, dass in jedem Stadium der Infektion Anti-Analyse-Techniken und Control-Flow-Verschleierung zum Einsatz kommen, die in früheren Kampagnen von diesem Bedrohungsakteur nicht verwendet wurde.
Die Liste der betroffenen Länder umfasst die Mongolei, Vietnam, Myanmar, Griechenland, Russland, Zypern, Südsudan, und Südafrika. Die Bedrohungsakteure verwenden benutzerdefinierte Ladeprogramme für gemeinsam genutzte Malware, wie Cobalt Strike- und Korplug-Malware.
Die Hodur-Kampagne basiert auf einem legitimen, gültig unterschrieben, ausführbare Datei, die anfällig für DLL-Suchreihenfolge-Hijacking ist, eine bösartige DLL, und eine verschlüsselte Malware, die auf dem System des Opfers eingesetzt werden. Die ausführbare Datei lädt das Modul, der dann die Korplug RAT entschlüsselt und ausführt. In einigen Fällen, Ein Downloader wird zunächst verwendet, um diese Dateien zusammen mit einem gefälschten Dokument zu verteilen, Die Forscher stellten fest. Die Infektionskette endet mit dem Einsatz der Hodur-Hintertür auf der kompromittierten Maschine.
Die Hintertür ist in der Lage, eine Reihe von Befehlen auszuführen, Dadurch kann das Implantat umfangreiche Systemdetails erfassen, beliebige Dateien lesen und schreiben, Befehle ausführen, und starten Sie eine Remote-cmd.exe-Sitzung.