セキュリティ研究者は、まだ進行中の悪意のあるキャンペーンで配布された新しいマルウェアを発見しました, Hodurと呼ばれる. マルウェアは以前のマルウェアと似ています, トールと呼ばれる, そして中国のムスタングパンダ脅威グループに起因していた.
Hodurバックドアマルウェアキャンペーン: これまでに知られていること
ムスタングパンダの脅威アクターは のキャンペーンで最初に検出された 2019, さまざまなマクロ感染文書の配布. 攻撃は世界規模であり、中国だけに限定されていませんでした. 私たちが知っていることは、グループが最初にマルウェアを広め始めたことです 2018, しかしその後、新しい手順を含めるために戦術をアップグレードしました. いくつかの 2019 攻撃にはチャイナセンターが含まれていました (非営利団体), ベトナムの政党と東南アジアの住民.
最新のHodurマルウェアキャンペーンについて, それはまだ進行中であり、おそらく8月に開始されました 2021.
研究機関, インターネットサービスプロバイダー, とヨーロッパの外交使節団はこれまでに標的にされてきました, ESETの研究者によると. ハッカーは再び感染した文書を使用してユーザーをだまして感染させています, ヨーロッパの現在のイベントに関連する, ウクライナ戦争やCovid-19など. 感染のすべての段階で、分析防止技術と制御フローの難読化が使用されていることは注目に値します。, この脅威アクターによる以前のキャンペーンでは使用されていません.
影響を受ける国のリストにはモンゴルが含まれます, ベトナム, ミャンマー, ギリシャ, ロシア, キプロス, 南スーダン, と南アフリカ. 攻撃者は共有マルウェアにカスタムローダーを使用しています, CobaltStrikeやKorplugマルウェアなど.
Hodurキャンペーンは合法的なものに基づいています, 有効に署名された, DLL検索順序の乗っ取りを起こしやすい実行可能ファイル, 悪意のあるDLL, 暗号化されたマルウェア, 被害者のシステムに配備されている. 実行可能ファイルはモジュールをロードします, 次に、KorplugRATを復号化して実行します. ある場合には, ダウンローダーは、最初はこれらのファイルを偽のドキュメントと一緒に配布するために使用されます, 研究者は指摘した. 感染チェーンは、侵入先のマシンにHodurバックドアを配備することで終了します.
バックドアは多くのコマンドを実行することができます, インプラントが広範なシステムの詳細を収集できるようにします, 任意のファイルの読み取りと書き込み, コマンドを実行する, リモートのcmd.exeセッションを起動します.
ミレーナ・ディミトロワ
プロジェクトの開始以来SensorsTechForumに所属しているインスピレーションを得たライター兼コンテンツマネージャー. の専門家 10+ 魅力的なコンテンツの作成における長年の経験. ユーザーのプライバシーとマルウェア開発に焦点を当てています, 彼女はサイバーセキュリティが中心的な役割を果たす世界を強く信じています. 常識が意味をなさない場合, 彼女はメモを取るためにそこにいます. それらのメモは後で記事になる可能性があります! Milena@Milenyimをフォローする
フォローしてください: