Hancitor下载器被用于Cuba勒索软件大型分发活动中 - 嘶吼 RoarTalk – 网络安全行业综合服务平台,4hou.com

Hancitor下载器被用于Cuba勒索软件大型分发活动中

Change 技术 2021-05-26 12:00:00
157223
收藏

导语:Hancitor于2016年出现,这几年的时间一直表现平平,直到最近研究人员发现其被用于Cuba大型勒索软件攻击行动中。

Hancitor(又称Chanitor或Tordal)是一个基于宏的恶意软件,通过垃圾邮件活动中的Microsoft Office钓鱼文档传播。Hancitor被设计为充当其他恶意软件的下载器,通过下载其他恶意软件感染Windows计算机,常见的是Pony、Vawtrak、Ficker之类的银行木马或间谍软件。

Hancitor的影响相当有限,很容易被微软内置的Windows Defender反病毒工具检测到,此外许多电子邮件过滤器也能够检测出这些垃圾邮件。那么Hancitor究竟对谁有效?一个理想的目标便是运行Windows 7过时版本的计算机用户,如禁用了反病毒的Windows 7。

Hancitor于2016年出现,这几年的时间一直表现平平,直到最近研究人员发现其被用于Cuba大型勒索软件攻击行动中。此次行动最早可追溯至2020年1月,背后的运营人员会在网站上公布拒绝支付赎金的受害者的窃取数据。截至2021年4月28日,该网站公布了9家大型公司的机密信息,分别来自来自航空、金融、教育和制造业等。

Hancitor通常是通过垃圾邮件活动分发的。在此行动中,邮件伪装成DocuSign通知:

垃圾邮件内容示例

单击恶意链接后会导致武器化文档的下载,文档会诱导用户禁用保护措施:

武器化文件的内容

文档打开后,宏提取Hancitor DLL并将其拖放到C:\Users\%username%\AppData\Roaming\Microsoft\Word,然后通过rundll32.exe运行。

这种行为很容易被基于主机的防御检测到,因为winword.exe通常不应启动rundll32.exe:

检测由Hancitor引起的异常活动

从C2服务器接收的数据经过base64编码,并与0x7A进行了异或。经过解码和解密后再检查命令,命令应显示为以下符号之一:«b», «e», «l», «n», «r»。Hancitor对每个命令对应的操作如下:

  • b-从命令服务器上下载PE。下载的数据解密、解压后并注入到新启动的svchost.exe进程中。

  • e-从命令服务器上下载PE。下载的数据在Hancitor进程的单独线程中解密、解压并执行。

  • l-从命令服务器上下载PE。通过创建远程线程,将下载的数据解密、解压并注入到新启动的svchost.exe进程中。

  • n-类似于ping命令。

  • r-从命令服务器上下载PE。下载的数据被解密、解压并保存到一个临时文件中。如果下载的文件是EXE文件,则通过CreateProcess执行;如果下载的文件是DLL文件,则通过rundll32.exe执行。

如今,Hancitor提供的最常见的有效负载之一是Ficker窃取器,该窃取器在各种地下论坛中经常出现,它能够从各种网页浏览器、邮件客户端、加密货币钱包等中提取数据。但攻击者对Cobalt Strike的使用更值得关注。

在后利用阶段,攻击者主要依靠Cobalt Strike,在攻击周期的各个阶段利用其功能,比如jump psexec、jump psexec_psh、SMB Beacons,攻击者有时还使用了一些不太常见的技术,如WMI和WinRM来执行远程主机上的Beacon stagers。

由于Cobalt Strike具有凭证转储功能,因此攻击者利用了mimikatz的sekurlsa :: logonpasswords,在某些情况下也使用单独的二进制文件在主机上运行mimikatz。该工具用获得的哈希值和mimikatz的sekurlsa :: pth来实现横向移动功能。

Beacon的功能还用于扫描受感染的网络。此外,该组织还利用了一些自定义工具来进行网络侦察。第一个工具称为Netping——它是一种简单的扫描程序,能够收集有关网络中活动主机的信息并将其保存到文本文件中,另一个工具Protoping可以收集有关可用网络共享的信息。如net view的内置工具也有被滥用收集网络中主机的信息,nltest实用工具用于收集受感染域的信息。

除了Cobalt Strike能够在远程主机上运行Beacon stagers外,攻击者还使用远程桌面协议进行横向移动。他们有一个名为RDP .bat的批处理脚本,用于启用RDP连接并在目标主机上添加相应的防火墙规则。

Ficker并不是攻击者武器库中唯一热门的工具。SystemBC是另一种在各种勒索软件运营商中越来越受欢迎的工具,即使Cobalt Strike活动被检测和阻止,此类后门程序也能使攻击者下载并执行有效负载。

勒索软件部署的方法简单但有效,与其他行动类似,攻击者通常利用PsExec进行部署。

所窃取的数据将发布在专用的Cuba DLS(数据泄漏站点)上。

截至4月28日,该网站主要提供了9家美国公司的数据供其他人免费下载,这些公司都是拒绝支付赎金大型公司,包括航空、金融、教育、制造和物流。预计实际受害者人数会更高。

网站还包括付费内容部分:

Cuba DLS上的付费内容

根据Group-IB TI&A的说法,勒索软件部署背后的组织是Balbesi。尽管该组织在操作中运用了相当普遍的技术,但它们的攻击仍然非常有效,并且影响了各个部门的组织,包括金融、制药、教育、工业、专业服务和软件开发,这些部门主要集中在欧洲和美国。

本文翻译自:https://blog.group-ib.com/hancitor-cuba-ransomware如若转载,请注明原文地址
  • 分享至
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

发表评论

 
本站4hou.com,所使用的字体和图片文字等素材部分来源于原作者或互联网共享平台。如使用任何字体和图片文字有侵犯其版权所有方的,嘶吼将配合联系原作者核实,并做出删除处理。
©2022 北京嘶吼文化传媒有限公司 京ICP备16063439号-1 本站由 提供云计算服务