Hancitor
Hancitor (Chanitor veya Tordal olarak da bilinmektedir.), malspam olarak ortaya çıkan bir zararlı yazılımdır. Yazılımın nitelikleri sebebiyle Pony/Evil Pony zararlılarına benzediği söylenebilmektedir. Hancitor, 2018’de Zeus Panda Banker ve 2019’da Pony, Evil Pony ve/veya Ursnif aktiviteleri ile karşımıza çıkmıştır. Aşağıda Hancitor aktivitelerine ait şema yer almaktadır:
Aktivitelerdeki Mail Atakları
Malspam aktiviteleri, spoof edilmiş adresler üzerinden gerçekleştirilmektedir. Spoof edilerek gönderilen mail içerikleri, meşru iş trafiği gibi görünecek şekilde hazırlanmaktadır. Aşağıda yer alan görselde spoof edilen içerikler ifade edilmiştir.
İndirilen Zararlı ve Aktiviteleri
Word dosyası türündeki zararlı dosya içerisinde macro kullanılarak aktiviteler gerçekleştirilmektedir. Siber güvenlik araştırmacıları, bu aktiviteleri, Ursnif ve Zeus Panda Banker kampanyalarının devam olarak ifade etmektedirler.
Kullanılan macro, öncelikle sistem üzerinde antivirüs taraması gerçekleştirmektedir.
- PSUAMain – Panda Cloud Antivirus
- n360 – Norton 360
- PccNT – Trend Micro PC-cillin
- uiSeAgnt – Trend Micro Worry-Free Business Security
- mbam – Malwarebytes
- mbamtray – Malwarebytes
Enfekiyon Süreci
Network trafiği incelendiğinde Ursnif aktivitelerine benzer bağlantılar tespit edilmiştir.
Zararlı yazılım üzerinde herhangi bir kalıcılık etkisi bulunmamaktadır. İlgili cihaz yeniden başlatıldığında zararlı kaybolmaktadır. Kendisini ilgili cihazda “AppData\Local\Temp” dizinine .tmp uzantısı ile eklemektedir. Bu davranışı ile Zeus Panda Banker aktivitesine benzemektedir.
IoC Listesi
Spoof Edilen Gönderici Adresleri
- From: “DocuSign Signature Service” <[email protected]>
- From: “DocuSign Signature and Invoice” <[email protected]>
- From: “DocuSign Electronic Signature and Invoice Service” <[email protected]>
- From: “DocuSign Electronic Signature ” <[email protected]>
- From: “DocuSign Signature Service” <[email protected]>
- From: “DocuSign Electronic Signature Service” <[email protected]>
Mail Başlıkları
- Subject: You received notification from DocuSign Electronic Service
- Subject: You received notification from DocuSign Service
- Subject: You got notification from DocuSign Electronic Signature Service
- Subject: You got invoice from DocuSign Electronic Signature Service
- Subject: You got notification from DocuSign Service
- Subject: You received notification from DocuSign Electronic Signature Service
Malspam Linkleri
- hxxps://docs.google[.]com/document/d/e/2PACX-1vSEfjWipv61XyrbNDn1neBUGeHzEPM35pYN5QRYrpUy4X-sbHybYEZ7-b6Zf8yGyA_1e4wNj452FD_O/pub
- hxxps://docs.google[.]com/document/d/e/2PACX-1vTiMxxKYdtOy98JFAiBaNe1W-VVdRGcZOZurDYA1jhcat-mcbcA8Uw7m_v4BvJ-H3o9m7ML_TtRNPQP/pub
- hxxps://docs.google[.]com/document/d/e/2PACX-1vShuUk4DvIVthVxqc8UIUgZ7hOQzBQ1Dop8sXP73qBfS-JrlSrdIaZslExSyrr459kvaMmWbOAUkYii/pub
- hxxps://docs.google[.]com/document/d/e/2PACX-1vRQ8skYzE8fzy9FnmU06fNCSEBTGwdYCxE1_NyLjxTCG7uEhpFtmI_IWAtk1FFmuQyAReDSuUCdyCFs/pub
- hxxps://docs.google[.]com/document/d/e/2PACX-1vT_UMMUFR8J8IbN7rthTdttvciBU-17slZ2anuIq4A-8zT4xtF9ngzzyiEjlE8HSDZQ5tWu_w6HBFMf/pub
- hxxps://docs.google[.]com/document/d/e/2PACX-1vQgYON0ZqbynIRhybfOxzkN8jUzIa-DkiYp-KOTxKzhFaDt2miDJBp14XJw8lMPHtU1tkIXDcwquIr-/pub
İndirilen Word Dosyasına Ait Hash Değerleri – SHA-256
- 080bade36015dd79925bab0975ac0f30f18424bdd1e7836d63c2dee350bdbd69 – 0112_528419802.doc
- 2ac3b573d70c40c5c0fafe4e5914c723f2322a1c9cd76d232447654604ff8b76 – 0112_929792452.doc
- 385425e94ed8ac21d7888550743b7a2b89afbeb51341713adb6da89cd63b5aff – 0112_203089882.doc
- 7b013a271432cc9dea449ea9fcf727ed3caf7ce4cc6a9ba014b3dd880b5668dd – 0112_1079750132.doc
- 8bcf45c2de07f322b8efb959e3cef38fb9983fdb8b932c527321fd3db5e444c8 – 0112_1005636132.doc
- cab2a47456a2c51504a79ff24116a4db3800b099ec50d0ebea20c2c77739276d – 0112_722674781.doc
- d6755718c70e20345c85d18c5411b67c99da5b2f8740d63221038c1d35ccc0b8 – 0112_153569242.doc
- ed3fa9e193f75e97c02c48f5c7377ff7a76b827082fdbfb9d6803e1f7bd633ca – 0112_114086062.doc
Word Dosyası Tarafından İndirilen DLL Dosyaları
- 00b2312dd63960434d09962ad3e3e7203374421b687658bd3c02f194b172bfe3
- 0941090d3eb785dbf88fbfafffad34c4ab42877b279129616a455347883e5738
- 43690eaf47245d69f4bda877c562852e4a9715955c2160345cb6cc84b18ca907
- 82c9bc479ea92c1900422666792877e00256996ce2f931984115598ed2c26f23
- 878319795a84ebfe5122d6fc21d27b4b94b3c28ad66679f841dec28ccc05e801
- c3e06473c4c3d801c962e6c90ccbcab3d532fb5a6649077ea09cd989edf45eaf
- cdcd5ee8b80d3a3863e0c55d4af5384522144011b071d00c9c71ae009305f130
- edabef17fce2aaca61dbd17a57baf780cd82a2b0189b0cf3c5a7a3ca07e94a44
Word Dosyasını Oluşturmak için Kullanılan Script URL Adresleri
- hxxp://savortrading[.]com/toweringly.php
- hxxps://libifield.co[.]za/figs.php
- hxxps://expertcircles[.]co[.]uk/assotiation.php
- hxxps://libifield[.]co[.]za/oilcan.php
- hxxp://3.133.244[.]105/irs.php
Word Dosyasını Elde Etmek için Trafik
- port 443 – docs.google.com – HTTPS traffic
- 104.31.80[.]93 port 80 – savortrading[.]com – GET /sacrifice.php
Hancitor Trafik
- port 80 – api.ipify.org – GET /
- 185.87.194[.]148 port 80 – fruciand[.]com – POST /8/forum.php
Cobalt Strike İlişkili Trafikleri
- 47.254.175[.]0 port 80 – steroidi[.]pro – GET /2112.bin
- 47.254.175[.]0 port 80 – steroidi[.]pro – GET /2112s.bin
- 162.223.31[.]160 port 1080 – 162.223.31[.]160:1080 – GET /GvSL
- 162.223.31[.]160 port 1080 – 162.223.31[.]160:1080 – GET /visit.js
- 162.223.31[.]160 port 443 – HTTPS traffic
Kaynak
https://isc.sans.edu/forums/diary/Hancitor+activity+resumes+after+a+hoilday+break/26980/