Pesquisadores de segurança descobriram um novo malware distribuído em uma campanha maliciosa ainda em andamento, chamado Hodur. O malware é semelhante a um malware anterior, chamado Thor, e tinha sido atribuído ao grupo de ameaça chinês Mustang Panda.
Campanha de malware de backdoor Hodur: O que se sabe até agora
Os agentes de ameaças do Mustang Panda foram detectado pela primeira vez em campanhas em 2019, distribuindo vários documentos infectados por macro. Os ataques foram globais e não se limitaram apenas à China. O que sabemos é que o grupo começou originalmente a espalhar malware em 2018, mas depois atualizaram suas táticas para incluir novos procedimentos. Alguns dos 2019 ataques incluíram China Center (organização sem fins lucrativos), Partido político do Vietnã e residentes do Sudeste Asiático.
Quanto à última campanha de malware Hodur, ainda está em andamento e provavelmente foi iniciado em agosto 2021.
Entidades de pesquisa, provedores de internet, e as missões diplomáticas europeias têm sido alvos até agora, de acordo com pesquisadores da ESET. Os hackers estão mais uma vez usando documentos infectados para induzir os usuários a infectar, relacionados a eventos atuais na Europa, como a guerra na Ucrânia e o Covid-19. Vale ressaltar que cada estágio da infecção utiliza técnicas de anti-análise e ofuscação de fluxo de controle, que não foi usado em campanhas anteriores por este ator de ameaça.
A lista de países afetados inclui a Mongólia, Vietnã, Myanmar, Grécia, Rússia, Chipre, Sudão do Sul, e África do Sul. Os agentes de ameaças estão usando carregadores personalizados para malware compartilhado, como malware Cobalt Strike e Korplug.
A campanha Hodur é baseada em um legítimo, validamente assinado, executável propenso a seqüestro de ordem de pesquisa de DLL, uma DLL maliciosa, e um malware criptografado, que são implantados no sistema da vítima. O executável carrega o módulo, que então descriptografa e executa o Korplug RAT. Em alguns casos, um downloader é usado inicialmente para distribuir esses arquivos junto com um documento falso, os pesquisadores notaram. A cadeia de infecção termina com a implantação do backdoor Hodur na máquina comprometida.
O backdoor é capaz de executar uma série de comandos, tornando possível que o implante colete detalhes extensos do sistema, ler e gravar arquivos arbitrários, executar comandos, e inicie uma sessão remota do cmd.exe.