Erkennung von Inhalten: Hancitor Trojaner

Neueste Bedrohungen

Juli 20, 2020

2 min zu lesen

Erkennung von Inhalten: Hancitor Trojaner

Eugene Tkachenko
Eugene Tkachenko Leiter des Community-Programms linkedin icon Folgen

Add to my AI research

ChatGPT icon Perplexity icon ClaudeAI icon Gemini icon

Abonnieren Sie den wöchentlichen Digest

Exklusiv für SOC Prime-Nutzer

Newsletter Icon

Der heutige Beitrag handelt von neuen Versionen des Hancitor-Trojaners und ein paar Regeln, die von Threat Bounty Program Teilnehmern veröffentlicht wurden, die es Sicherheitslösungen ermöglichen, sie zu erkennen.

Hancitor Trojaner (Umgehungstechnik) Gemeinschaftsregel von Emir Erdogan: https://tdm.socprime.com/tdm/info/GwJ4Y7k7tzaz/1rBKXHMBSh4W_EKGF2on/?p=1

Hancitor-Infektion mit Ursnif exklusive Regel von Osman Demir: https://tdm.socprime.com/tdm/info/DXrFgt0kTBg1/Z9TBUXMBPeJ4_8xc-IFm/

Diese Malware trat 2013 auf und wurde Ende letzten Jahres von den Autoren erheblich modifiziert, die es schafften, den veralteten Trojaner in eine ausweichende Bedrohung zu verwandeln. Cyberkriminelle infizieren ihre Opfer hauptsächlich über verschiedene Spam-E-Mail-Kampagnen. Der Hancitor-Trojaner ist darauf ausgelegt, Windows-Systeme anzugreifen, und Angreifer verwenden ihn, um die nächste Payload-Phase zu liefern. Die neue Version dieser Malware wurde vor allem bei Angriffen gegen Benutzer und Organisationen aus den Vereinigten Staaten eingesetzt, und ihre anderen Ziele befinden sich in Kanada, Süd- und Zentralamerika, Europa und der APAC-Region. Eine der bemerkenswertesten Änderungen der Malware ist die Fähigkeit, ein DLL-Modul herunterzuladen und auszuführen. Außerdem haben die Malware-Autoren das Netzwerkkommunikationsprotokoll wesentlich verändert.

In jüngsten Kampagnen nutzten Cyberkriminelle eine effektive Kombination von Living off the Land-Techniken, um der Erkennung zu entgehen. Sie nutzten WMI für indirekte Befehlausführung und COM-Objekte, um Stage-Two-Binaries in Proxy- und Non-Proxy-Umgebungen herunterzuladen.

 

Die Regeln haben Übersetzungen für die folgenden Plattformen:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, LogPoint, Humio 

EDR: Microsoft Defender ATP, Carbon Black, Elastic Endpoint

 

MITRE ATT&CK: 

Taktiken: Ausführung, Entdeckung 

Techniken: PowerShell (T1086), Windows Management Instrumentation (T1047), Abfrage-Registrierung (T1012)


Bereit, SOC Prime TDM auszuprobieren? Kostenlos anmelden. Oder dem Threat Bounty Program beitreten um eigene Inhalte zu gestalten und mit der TDM-Community zu teilen.

Treten Sie der Detection as Code-Plattform von SOC Prime bei um die Sichtbarkeit der für Ihr Unternehmen relevantesten Bedrohungen zu verbessern. Um Ihnen den Einstieg zu erleichtern und unmittelbaren Mehrwert zu erzielen, buchen Sie jetzt ein Treffen mit den Experten von SOC Prime.
Kostenlos beitreten Ein Treffen buchen

More Neueste Bedrohungen Articles

XE-Gruppenaktivitätserkennung: Von Kreditkarten-Skimming bis zur Ausnutzung der CVE-2024-57968 und CVE-2025-25181 VeraCore Zero-Day-Schwachstellen 4 min zu lesen Neueste Bedrohungen XE-Gruppenaktivitätserkennung: Von Kreditkarten-Skimming bis zur Ausnutzung der CVE-2024-57968 und CVE-2025-25181 VeraCore Zero-Day-Schwachstellen by Veronika Zahorulko CVE-2025-0411 Erkennung: Russische Cybercrime-Gruppen nutzen Zero-Day-Schwachstelle in 7-Zip, um ukrainische Organisationen anzugreifen 4 min zu lesen Neueste Bedrohungen CVE-2025-0411 Erkennung: Russische Cybercrime-Gruppen nutzen Zero-Day-Schwachstelle in 7-Zip, um ukrainische Organisationen anzugreifen by Veronika Zahorulko Lumma Stealer Erkennung: Hochentwickelte Kampagne nutzt GitHub-Infrastruktur zur Verbreitung von SectopRAT, Vidar, Cobeacon und anderen Malware-Arten 4 min zu lesen Neueste Bedrohungen Lumma Stealer Erkennung: Hochentwickelte Kampagne nutzt GitHub-Infrastruktur zur Verbreitung von SectopRAT, Vidar, Cobeacon und anderen Malware-Arten by Veronika Zahorulko