Contenuto di Rilevamento: Trojan Hancitor

Il post di oggi riguarda le nuove versioni del trojan Hancitor e un paio di regole rilasciate dal Programma di ricompensa per minacce partecipanti che consentono alle soluzioni di sicurezza di rilevarli.

Trojan Hancitor (Tecnica di Evasione) regola della comunità di Emir Erdogan: https://tdm.socprime.com/tdm/info/GwJ4Y7k7tzaz/1rBKXHMBSh4W_EKGF2on/?p=1

Infezione Hancitor con Ursnif regola esclusiva di Osman Demir: https://tdm.socprime.com/tdm/info/DXrFgt0kTBg1/Z9TBUXMBPeJ4_8xc-IFm/

Questo malware è apparso nel 2013 e alla fine dello scorso anno è stato significativamente modificato dagli autori, che sono riusciti a trasformare il trojan obsoleto in una minaccia evasiva. I criminali informatici infettano le loro vittime principalmente tramite varie campagne di spam email. Il trojan Hancitor è progettato per attaccare i sistemi Windows, e gli attaccanti lo utilizzano per consegnare il payload della fase successiva. La nuova versione di questo malware è stata utilizzata soprattutto in attacchi contro utenti e organizzazioni degli Stati Uniti, e i loro altri obiettivi si trovano in Canada, nelle Americhe sud e centrale, in Europa e nella regione APAC. Uno dei cambiamenti più notevoli nel malware è la capacità di scaricare ed eseguire un modulo DLL. Inoltre, gli autori del malware hanno modificato in modo significativo il protocollo di comunicazione di rete utilizzato.

Nelle campagne recenti, i criminali informatici hanno sfruttato una combinazione efficace di Tecniche di Vita a Basso Profilo per evitare il rilevamento. Hanno utilizzato WMI per l’esecuzione indiretta di comandi e oggetti COM per scaricare i binari della seconda fase in ambienti Proxy e Non-Proxy.

Le regole hanno traduzioni per le seguenti piattaforme:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, LogPoint, Humio 

EDR: Microsoft Defender ATP, Carbon Black, Elastic Endpoint

MITRE ATT&CK: 

Tattiche: Esecuzione, Scoperta 

Tecniche: PowerShell (T1086), Strumentazione di Gestione Windows (T1047), Query Registro (T1012)

Pronto a provare SOC Prime TDM? Registrati gratuitamente. Oppure unisciti al Programma di Ricompensa per Minacce per creare i tuoi contenuti e condividerli con la comunità di TDM.