Beveiligingsonderzoekers ontdekten nieuwe malware die werd verspreid in een nog steeds lopende kwaadaardige campagne, genaamd Hoduro. De malware is vergelijkbaar met een eerdere malware, genaamd Thor, en was toegeschreven aan de Chinese dreigingsgroep Mustang Panda.
Hodur Backdoor Malware Campagne: Wat is er bekend So Far
De dreigingsacteurs van de Mustang Panda waren: voor het eerst gedetecteerd in campagnes in 2019, het verspreiden van verschillende macro-geïnfecteerde documenten. De aanvallen waren wereldwijd en beperkten zich niet alleen tot China. Wat we weten is dat de groep oorspronkelijk malware begon te verspreiden in 2018, maar hebben vervolgens hun tactiek geüpgraded om nieuwe procedures op te nemen. Sommige van de 2019 aanvallen inclusief China Center (non-profit organisatie), Vietnam politieke partij en bewoners uit Zuidoost-Azië.
Wat betreft de nieuwste Hodur-malwarecampagne, het is nog steeds aan de gang en is waarschijnlijk in augustus gestart 2021.
onderzoeksentiteiten, internetproviders, en Europese diplomatieke missies zijn tot nu toe het doelwit geweest, volgens ESET-onderzoekers. De hackers gebruiken opnieuw geïnfecteerde documenten om gebruikers te misleiden tot infectie, gerelateerd aan actuele gebeurtenissen in Europa, zoals de oorlog in Oekraïne en Covid-19. Het is opmerkelijk dat in elke fase van de infectie anti-analysetechnieken en controlestroomverduistering worden gebruikt, die niet is gebruikt in eerdere campagnes door deze dreigingsactor.
De lijst met getroffen landen omvat Mongolië, Vietnam, Myanmar, Griekenland, Rusland, Cyprus, Zuid Soedan, en Zuid-Afrika. De dreigingsactoren gebruiken aangepaste laders voor gedeelde malware, zoals Cobalt Strike en Korplug-malware.
De Hodur-campagne is gebaseerd op een legitieme, geldig ondertekend, uitvoerbaar bestand dat vatbaar is voor het kapen van DLL-zoekopdrachten, een kwaadaardige DLL, en een versleutelde malware, die worden ingezet op het systeem van het slachtoffer. Het uitvoerbare bestand laadt de module, die vervolgens de Korplug RAT . decodeert en uitvoert. In sommige gevallen, een downloader wordt aanvankelijk gebruikt om deze bestanden samen met een nepdocument te verspreiden, de onderzoekers opgemerkt. De infectieketen eindigt met de inzet van de Hodur-achterdeur op de gecompromitteerde machine.
De achterdeur kan een aantal commando's uitvoeren, waardoor het implantaat uitgebreide systeemdetails kan verzamelen, lees en schrijf willekeurige bestanden, commando's uitvoeren, en start een externe cmd.exe-sessie.