Contenido de Detección: Troyano Hancitor

El post de hoy trata sobre nuevas versiones del troyano Hancitor y un par de reglas publicadas por Programa de Recompensas por Amenazas participantes que permiten a las soluciones de seguridad detectarlas.

Troyano Hancitor (Técnica de Evasión) regla comunitaria por Emir Erdogan: https://tdm.socprime.com/tdm/info/GwJ4Y7k7tzaz/1rBKXHMBSh4W_EKGF2on/?p=1

infección Hancitor con Ursnif regla exclusiva por Osman Demir: https://tdm.socprime.com/tdm/info/DXrFgt0kTBg1/Z9TBUXMBPeJ4_8xc-IFm/

Este malware apareció en 2013 y a finales del año pasado fue modificado significativamente por los autores, quienes lograron convertir el troyano obsoleto en una amenaza evasiva. Los ciberdelincuentes infectan a sus víctimas principalmente a través de diversas campañas de correo electrónico spam. El troyano Hancitor está diseñado para atacar sistemas Windows, y los atacantes lo utilizan para entregar la carga útil de la siguiente etapa. La nueva versión de este malware se utilizó principalmente en ataques contra usuarios y organizaciones de los Estados Unidos, y sus otros objetivos se encuentran en Canadá, América del Sur y Central, Europa, y la región APAC. Uno de los cambios más notables en el malware es la capacidad de descargar y ejecutar un módulo DLL. Además, los autores del malware han modificado significativamente el protocolo de comunicación de red utilizado.

En las campañas recientes, los ciberdelincuentes aprovecharon una combinación efectiva de Técnicas «Living off the Land» para evadir la detección. Utilizaron WMI para la ejecución indirecta de comandos y objetos COM para descargar binarios de la segunda etapa en entornos Proxy y No Proxy.

Las reglas tienen traducciones para las siguientes plataformas:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, LogPoint, Humio

EDR: Microsoft Defender ATP, Carbon Black, Elastic Endpoint

MITRE ATT&CK:

Tácticas: Ejecución, Descubrimiento

Técnicas: PowerShell (T1086), Instrumentación de Gestión de Windows (T1047), Consultar Registro (T1012)

¿Listo para probar SOC Prime TDM? Regístrate gratis. O únete al Programa de Recompensas por Amenazas para crear tu propio contenido y compartirlo con la comunidad TDM.