Los investigadores de seguridad descubrieron un nuevo malware distribuido en una campaña maliciosa aún en curso, llamado Hodur. El malware es similar a un malware anterior., llamado thor, y se había atribuido al grupo de amenazas chino Mustang Panda.
Campaña de malware de puerta trasera de Hodur: Lo que se sabe hasta ahora
Los actores de la amenaza Mustang Panda fueron detectado por primera vez en campañas en 2019, distribuir varios documentos infectados con macros. Los ataques fueron globales y no se limitaron solo a China. Lo que sabemos es que el grupo originalmente comenzó a propagar malware en 2018, pero luego actualizaron sus tácticas para incluir nuevos procedimientos. Algunos de los 2019 los ataques incluyeron China Center (organización sin ánimo de lucro), partido y los residentes del sureste de Asia política de Vietnam.
En cuanto a la última campaña de malware Hodur, todavía está en curso y probablemente se inició en agosto 2021.
Entidades de investigación, proveedores de servicio de Internet, y las misiones diplomáticas europeas han sido atacadas hasta ahora, según investigadores de ESET. Los piratas informáticos están utilizando una vez más documentos infectados para engañar a los usuarios para que infecten, relacionados con la actualidad en Europa, como la guerra en Ucrania y el Covid-19. Es de destacar que cada etapa de la infección utiliza técnicas de antianálisis y ofuscación de flujo de control., que no ha sido utilizado en campañas anteriores por este actor de amenazas.
La lista de países afectados incluye Mongolia, Vietnam, Myanmar, Grecia, Rusia, Chipre, Sudán del Sur, y Sudáfrica. Los actores de amenazas están utilizando cargadores personalizados para malware compartido, como el malware Cobalt Strike y Korplug.
La campaña de Hodur se basa en un legítimo, válidamente firmado, ejecutable propenso al secuestro de orden de búsqueda de DLL, una DLL maliciosa, y un malware encriptado, que se implementan en el sistema de la víctima. El ejecutable carga el módulo., que luego descifra y ejecuta Korplug RAT. En algunos casos, inicialmente se usa un descargador para distribuir estos archivos junto con un documento falso, los investigadores observaron. La cadena de infección termina con el despliegue de la puerta trasera Hodur en la máquina comprometida.
La puerta trasera es capaz de ejecutar una serie de comandos, haciendo posible que el implante recopile una gran cantidad de detalles del sistema, leer y escribir archivos arbitrarios, ejecutar comandos, e inicie una sesión cmd.exe remota.
Milena Dimitrova
Un escritor inspirado y administrador de contenido que ha estado con SensorsTechForum desde que comenzó el proyecto.. Un profesional con 10+ años de experiencia en la creación de contenido atractivo. Centrado en la privacidad de los usuarios y el desarrollo de malware, ella cree firmemente en un mundo donde la seguridad cibernética juega un papel central. Si el sentido común no tiene sentido, ella estará allí para tomar notas. Esas notas pueden convertirse más tarde en artículos! Siga Milena @Milenyim
Sígueme: