Hancitor(又称Chanitor或Tordal)是一个基于宏的恶意软件,通过垃圾邮件活动中的Microsoft Office钓鱼文档传播。Hancitor被设计为充当其他恶意软件的下载器,通过下载其他恶意软件感染Windows计算机,常见的是Pony、Vawtrak、Ficker之类的银行木马或间谍软件。
Hancitor的影响相当有限,很容易被微软内置的Windows Defender反病毒工具检测到,此外许多电子邮件过滤器也能够检测出这些垃圾邮件。那么Hancitor究竟对谁有效?一个理想的目标便是运行Windows 7过时版本的计算机用户,如禁用了反病毒的Windows 7。
Hancitor于2016年出现,这几年的时间一直表现平平,直到最近研究人员发现其被用于Cuba大型勒索软件攻击行动中。此次行动最早可追溯至2020年1月,背后的运营人员会在网站上公布拒绝支付赎金的受害者的窃取数据。截至2021年4月28日,该网站公布了9家大型公司的机密信息,分别来自来自航空、金融、教育和制造业等。
Hancitor通常是通过垃圾邮件活动分发的。在此行动中,邮件伪装成DocuSign通知:
垃圾邮件内容示例
单击恶意链接后会导致武器化文档的下载,文档会诱导用户禁用保护措施:
武器化文件的内容
文档打开后,宏提取Hancitor DLL并将其拖放到C:\Users\%username%\AppData\Roaming\Microsoft\Word,然后通过rundll32.exe运行。
这种行为很容易被基于主机的防御检测到,因为winword.exe通常不应启动rundll32.exe:
检测由Hancitor引起的异常活动
从C2服务器接收的数据经过base64编码,并与0x7A进行了异或。经过解码和解密后再检查命令,命令应显示为以下符号之一:«b», «e», «l», «n», «r»。Hancitor对每个命令对应的操作如下:
b-从命令服务器上下载PE。下载的数据解密、解压后并注入到新启动的svchost.exe进程中。
e-从命令服务器上下载PE。下载的数据在Hancitor进程的单独线程中解密、解压并执行。
l-从命令服务器上下载PE。通过创建远程线程,将下载的数据解密、解压并注入到新启动的svchost.exe进程中。
n-类似于ping命令。
r-从命令服务器上下载PE。下载的数据被解密、解压并保存到一个临时文件中。如果下载的文件是EXE文件,则通过CreateProcess执行;如果下载的文件是DLL文件,则通过rundll32.exe执行。
如今,Hancitor提供的最常见的有效负载之一是Ficker窃取器,该窃取器在各种地下论坛中经常出现,它能够从各种网页浏览器、邮件客户端、加密货币钱包等中提取数据。但攻击者对Cobalt Strike的使用更值得关注。
在后利用阶段,攻击者主要依靠Cobalt Strike,在攻击周期的各个阶段利用其功能,比如jump psexec、jump psexec_psh、SMB Beacons,攻击者有时还使用了一些不太常见的技术,如WMI和WinRM来执行远程主机上的Beacon stagers。
由于Cobalt Strike具有凭证转储功能,因此攻击者利用了mimikatz的sekurlsa :: logonpasswords,在某些情况下也使用单独的二进制文件在主机上运行mimikatz。该工具用获得的哈希值和mimikatz的sekurlsa :: pth来实现横向移动功能。
Beacon的功能还用于扫描受感染的网络。此外,该组织还利用了一些自定义工具来进行网络侦察。第一个工具称为Netping——它是一种简单的扫描程序,能够收集有关网络中活动主机的信息并将其保存到文本文件中,另一个工具Protoping可以收集有关可用网络共享的信息。如net view的内置工具也有被滥用收集网络中主机的信息,nltest实用工具用于收集受感染域的信息。
除了Cobalt Strike能够在远程主机上运行Beacon stagers外,攻击者还使用远程桌面协议进行横向移动。他们有一个名为RDP .bat的批处理脚本,用于启用RDP连接并在目标主机上添加相应的防火墙规则。
Ficker并不是攻击者武器库中唯一热门的工具。SystemBC是另一种在各种勒索软件运营商中越来越受欢迎的工具,即使Cobalt Strike活动被检测和阻止,此类后门程序也能使攻击者下载并执行有效负载。
勒索软件部署的方法简单但有效,与其他行动类似,攻击者通常利用PsExec进行部署。
所窃取的数据将发布在专用的Cuba DLS(数据泄漏站点)上。
截至4月28日,该网站主要提供了9家美国公司的数据供其他人免费下载,这些公司都是拒绝支付赎金大型公司,包括航空、金融、教育、制造和物流。预计实际受害者人数会更高。
网站还包括付费内容部分:
Cuba DLS上的付费内容
根据Group-IB TI&A的说法,勒索软件部署背后的组织是Balbesi。尽管该组织在操作中运用了相当普遍的技术,但它们的攻击仍然非常有效,并且影响了各个部门的组织,包括金融、制药、教育、工业、专业服务和软件开发,这些部门主要集中在欧洲和美国。
本文翻译自:https://blog.group-ib.com/hancitor-cuba-ransomware如若转载,请注明原文地址