Zuhause > Cyber ​​Aktuelles > Mustang Panda Threat Group veröffentlicht neue Hodur-Malware
CYBER NEWS

Mustang Panda Threat Group veröffentlicht neue Hodur-Malware

Mustang Panda Threat Group veröffentlicht neue Hodur-Malware

Sicherheitsforscher entdeckten eine neue Malware, die in einer noch andauernden böswilligen Kampagne verbreitet wurde, Hodur genannt. Die Malware ähnelt einer früheren Malware, Thor genannt, und wurde der chinesischen Bedrohungsgruppe Mustang Panda zugeschrieben.

Hodur Backdoor-Malware-Kampagne: Was ist bis jetzt bekannt

Die Mustang-Panda-Bedrohungsakteure waren erstmals in Kampagnen in entdeckt 2019, Verteilung verschiedener makroinfizierter Dokumente. Die Angriffe waren global und beschränkten sich nicht nur auf China. Was wir wissen, ist, dass die Gruppe ursprünglich damit begann, Malware zu verbreiten 2018, dann aber ihre Taktik um neue Verfahren erweitert. Einige der 2019 Zu den Angriffen gehörte das China Center (gemeinnützige Organisation), Vietnam politische Partei und Bewohner aus Südostasien.

Was die neueste Hodur-Malware-Kampagne betrifft, es dauert noch an und wurde wahrscheinlich im August eingeleitet 2021.

Forschungseinrichtungen, Internetanbieter, und europäische diplomatische Vertretungen wurden bisher ins Visier genommen, laut ESET-Forschern. Die Hacker verwenden erneut infizierte Dokumente, um Benutzer zur Infektion zu verleiten, zu aktuellen Ereignissen in Europa, wie der Krieg in der Ukraine und Covid-19. Es ist bemerkenswert, dass in jedem Stadium der Infektion Anti-Analyse-Techniken und Control-Flow-Verschleierung zum Einsatz kommen, die in früheren Kampagnen von diesem Bedrohungsakteur nicht verwendet wurde.




Die Liste der betroffenen Länder umfasst die Mongolei, Vietnam, Myanmar, Griechenland, Russland, Zypern, Südsudan, und Südafrika. Die Bedrohungsakteure verwenden benutzerdefinierte Ladeprogramme für gemeinsam genutzte Malware, wie Cobalt Strike- und Korplug-Malware.

Die Hodur-Kampagne basiert auf einem legitimen, gültig unterschrieben, ausführbare Datei, die anfällig für DLL-Suchreihenfolge-Hijacking ist, eine bösartige DLL, und eine verschlüsselte Malware, die auf dem System des Opfers eingesetzt werden. Die ausführbare Datei lädt das Modul, der dann die Korplug RAT entschlüsselt und ausführt. In einigen Fällen, Ein Downloader wird zunächst verwendet, um diese Dateien zusammen mit einem gefälschten Dokument zu verteilen, Die Forscher stellten fest. Die Infektionskette endet mit dem Einsatz der Hodur-Hintertür auf der kompromittierten Maschine.

Die Hintertür ist in der Lage, eine Reihe von Befehlen auszuführen, Dadurch kann das Implantat umfangreiche Systemdetails erfassen, beliebige Dateien lesen und schreiben, Befehle ausführen, und starten Sie eine Remote-cmd.exe-Sitzung.

Milena Dimitrova

Ein begeisterter Autor und Content Manager, der seit Projektbeginn bei SensorsTechForum ist. Ein Profi mit 10+ jahrelange Erfahrung in der Erstellung ansprechender Inhalte. Konzentriert sich auf die Privatsphäre der Nutzer und Malware-Entwicklung, sie die feste Überzeugung, in einer Welt, in der Cybersicherheit eine zentrale Rolle spielt. Wenn der gesunde Menschenverstand macht keinen Sinn, sie wird es sich Notizen zu machen. Diese Noten drehen können später in Artikel! Folgen Sie Milena @Milenyim

Mehr Beiträge

Folge mir:
Zwitschern

Schreibe einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

Diese Website verwendet Cookies, um die Benutzererfahrung zu verbessern. Durch die Nutzung unserer Website erklären Sie sich mit allen Cookies gemäß unserer Datenschutz-Bestimmungen.
Genau