I ricercatori di sicurezza hanno scoperto un nuovo malware distribuito in una campagna dannosa ancora in corso, chiamato Hodur. Il malware è simile a un malware precedente, chiamato Thor, ed era stato attribuito al gruppo di minaccia cinese Mustang Panda.
Campagna di malware backdoor di Hodur: Quello che si sa finora
Gli attori della minaccia Mustang Panda erano rilevato per la prima volta nelle campagne in 2019, distribuzione di vari documenti macro-infetti. Gli attacchi erano globali e non erano limitati alla sola Cina. Quello che sappiamo è che il gruppo ha iniziato a diffondere malware all'interno 2018, ma poi ha aggiornato le loro tattiche per includere nuove procedure. Alcuni dei 2019 gli attacchi includevano China Center (organizzazione non profit), partito politico Vietnam e residenti da sud-est asiatico.
Per quanto riguarda l'ultima campagna malware Hodur, è ancora in corso ed è stato probabilmente avviato ad agosto 2021.
Enti di ricerca, fornitori di servizi Internet, e le missioni diplomatiche europee sono state finora prese di mira, secondo i ricercatori ESET. Gli hacker stanno ancora una volta utilizzando documenti infetti per indurre gli utenti a infettare, legati all'attualità in Europa, come la guerra in Ucraina e il Covid-19. È interessante notare che ogni fase dell'infezione utilizza tecniche anti-analisi e offuscamento del flusso di controllo, che non è stato utilizzato nelle campagne precedenti da questo attore di minacce.
L'elenco dei paesi colpiti include la Mongolia, Vietnam, Myanmar, Grecia, Russia, Cipro, Sudan del Sud, e Sud Africa. Gli attori delle minacce utilizzano caricatori personalizzati per il malware condiviso, come il malware Cobalt Strike e Korplug.
La campagna di Hodur si basa su un legittimo, validamente firmato, eseguibile soggetto al dirottamento dell'ordine di ricerca DLL, una DLL dannosa, e un malware crittografato, che vengono implementati sul sistema della vittima. L'eseguibile carica il modulo, che quindi decodifica ed esegue il Korplug RAT. In alcuni casi, inizialmente viene utilizzato un downloader per distribuire questi file insieme a un documento falso, i ricercatori hanno notato. La catena di infezione termina con l'implementazione della backdoor Hodur sulla macchina compromessa.
La backdoor è in grado di eseguire una serie di comandi, consentendo all'impianto di raccogliere ampi dettagli del sistema, leggere e scrivere file arbitrari, eseguire comandi, e avvia una sessione remota di cmd.exe.
Milena Dimitrova
Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim
Seguimi: