【安全资讯】研究人员发现使用Hancitor下载器的恶意活动

引言

研究人员发现攻击者使用Hancitor下载器的恶意活动。Hancitor（也称为 Chanitor 和 Tordal）是一种下载木马，于 2014 年首次被发现，已被用于传播多种不同的恶意软件，例如 Pony、Vawtrak 和 DELoader。Hancitor 恶意软件嵌入在基于宏的 Word 文档中，这个单页文档包含一张带有说明的图片，试图引诱受害者启用宏。

简况

攻击者通过使用Hancitor下载器的恶意文档活动获得了对系统的初始访问权限。当宏被启用时，感染链就开始了，第一阶段的Hancitor DLL被放置在磁盘上，它试图在beachhead系统上下载多个恶意软件载荷，包括flicker Stealer。此外，还下载并部署了 Cobalt Strike 信标有效载荷。一旦进入目标环境，就会观察到端口扫描和大量 ICMP 流量，以识别其他活动系统。大约 20 分钟后，攻击者使用 SMB 协议将批处理脚本文件和 DLL 文件复制到另一个系统。攻击者安装了一个远程服务来启动批处理文件，该文件执行 Cobalt Strike shellcode 嵌入的 DLL。在第二个受感染的系统上，在停止运行之前会执行各种与发现相关的命令。攻击的时间线如下：

在beachhead系统上，恶意的 Hancitor DLL 被注入到 svchost.exe 进程中。该代码被注入到 svchost.exe 的多个实例中。 内存分析还显示可疑的内存保护 (page_execute_readwrite) 和特定进程的区域。 最后，在查看进程树时可以识别出 rundll32.exe 启动 svchost.exe 的异常进程关系，svchost.exe 进程将 Cobalt Strike 信标注入多个 rundll32.exe 实例。

此外，在横向移动阶段观察到的恶意 95.dll 也旨在逃避自动沙箱分析。如果未通过传递特定参数调用导出的函数，则这个DLL不会显示恶意行为。DLL 包含 Cobalt Strike shellcode，并且只有在“11985756”参数传递给 TstSec 函数时才会执行。 从 95.dll 中提取 Cobalt Strike shellcode 并通过scdbg进行仿真后，研究人员发现它通过端口 8080 连接到 162.244.83[.]95。对上述 IP 地址的数据包分析表明，它正在通过向 /hVVH URI 发起 HTTP GET 请求来下载 Cobalt Strike 信标。 下载后，stager在当前rundll32.exe进程内分配一个新的内存区域并将其加载到内存中并启动C2活动。