Des chercheurs en sécurité ont découvert un nouveau malware distribué dans le cadre d'une campagne malveillante toujours en cours, appelé Hodour. Le malware est similaire à un malware précédent, appelé Thor, et avait été attribué au groupe de menace chinois Mustang Panda.
Campagne contre les logiciels malveillants de porte dérobée Hodur: Ce qui est connu So Far
Les acteurs de la menace Mustang Panda étaient détecté pour la première fois dans des campagnes en 2019, distribution de divers documents macro-infectés. Les attaques étaient mondiales et ne se limitaient pas seulement à la Chine. Ce que nous savons, c'est que le groupe a initialement commencé à diffuser des logiciels malveillants dans 2018, mais ont ensuite amélioré leurs tactiques pour inclure de nouvelles procédures. Certains 2019 les attaques comprenaient China Center (organisme sans but lucratif), parti politique du Vietnam et les résidents de l'Asie du Sud-Est.
Quant à la dernière campagne de malware Hodur, il est toujours en cours et a probablement été lancé en août 2021.
Entités de recherche, Les fournisseurs de services internet, et les missions diplomatiques européennes ont été ciblées jusqu'à présent, selon les chercheurs d'ESET. Les pirates utilisent à nouveau des documents infectés pour inciter les utilisateurs à infecter, liés à l'actualité en Europe, comme la guerre en Ukraine et le Covid-19. Il est à noter que chaque étape de l'infection utilise des techniques d'anti-analyse et d'obscurcissement du flux de contrôle, qui n'a pas été utilisé dans les campagnes précédentes par cet acteur malveillant.
La liste des pays touchés comprend la Mongolie, Viêt-Nam, Myanmar, Grèce, Russie, Chypre, Soudan du sud, et l'Afrique du Sud. Les acteurs de la menace utilisent des chargeurs personnalisés pour les logiciels malveillants partagés, tels que Cobalt Strike et les logiciels malveillants Korplug.
La campagne du Hodur est fondée sur une légitime, valablement signé, exécutable sujet au détournement d'ordre de recherche DLL, une DLL malveillante, et un malware crypté, qui sont déployés sur le système de la victime. L'exécutable charge le module, qui décrypte et exécute ensuite le Korplug RAT. Dans certains cas,, un téléchargeur est initialement utilisé pour distribuer ces fichiers avec un faux document, les chercheurs ont noté. La chaîne d'infection se termine avec le déploiement de la porte dérobée Hodur sur la machine compromise.
La porte dérobée est capable d'exécuter un certain nombre de commandes, permettant à l'implant de collecter de nombreux détails du système, lire et écrire des fichiers arbitraires, exécuter des commandes, et lancer une session cmd.exe à distance.