皇冠现金网寻求亚洲战略合作伙伴,皇冠代理招募中,皇冠平台开放会员注册、充值、提现、电脑版下载、APP下载。

首页科技正文

ipfs矿机团购(www.ipfs8.vip):Hancitor下载器被用于Cuba勒索软件大型分发流动中

admin2022-05-14214技术

Hancitor(又称Chanitor或Tordal)是一个基于宏的恶意软件,通过垃圾邮件流动中的Microsoft Office钓鱼文档流传。Hancitor被设计为充当其他恶意软件的下载器,通过下载其他恶意软件熏染Windows盘算机,常见的是Pony、Vawtrak、Ficker之类的银行木马或特工软件。

Hancitor的影响相当有限,很容易被微软内置的Windows Defender反病毒工具检测到,此外许多电子邮件过滤器也能够检测出这些垃圾邮件。那么Hancitor事实对谁有用?一个理想的目的即是运行Windows 7过时版本的盘算机用户,如禁用了反病毒的Windows 7。

Hancitor于2016年泛起,这几年的时间一直显示平平,直到最近研究职员发现其被用于Cuba大型勒索软件攻击行动中。此次行动最早可追溯至2020年1月,背后的运营职员会在网站上宣布拒绝支付赎金的受害者的窃取数据。住手2021年4月28日,该网站宣布了9家大型公司的隐秘信息,划分来自来自航空、金融、教育和制造业等。

Hancitor通常是通过垃圾邮件流动分发的。在此行动中,邮件伪装成DocuSign通知:

垃圾邮件内容示例

单击恶意链接后会导致武器化文档的下载,文档会诱导用户禁用珍爱措施:

武器化文件的内容

文档打开后,宏提取Hancitor DLL并将其拖放到C:\Users\%username%\AppData\Roaming\Microsoft\Word,然后通过rundll32.exe运行。

这种行为很容易被基于主机的防御检测到,由于winword.exe通常不应启动rundll32.exe:

检测由Hancitor引起的异常流动

从C2服务器吸收的数据经由base64编码,并与0x7A举行了异或。经由解码息争密后再检查下令,下令应显示为以下符号之一:«b», «e», «l», «n», «r»。Hancitor对每个下令对应的操作如下:

  • b-从下令服务器上下载PE。下载的数据解密、解压后并注入到新启动的svchost.exe历程中。

  • e-从下令服务器上下载PE。下载的数据在Hancitor历程的单独线程中解密、解压并执行。

    ,

    足球免费推荐

    免费足球贴士网(www.zq68.vip)是国内最权威的足球赛事报道、预测平台。免费提供赛事直播,免费足球贴士,免费足球推介,免费专家贴士,免费足球推荐,最专业的足球心水网。

    ,
  • l-从下令服务器上下载PE。通过确立远程线程,将下载的数据解密、解压并注入到新启动的svchost.exe历程中。

  • n-类似于ping下令。

  • r-从下令服务器上下载PE。下载的数据被解密、解压并保留到一个暂且文件中。若是下载的文件是EXE文件,则通过CreateProcess执行;若是下载的文件是DLL文件,则通过rundll32.exe执行。

现在,Hancitor提供的最常见的有用负载之一是Ficker窃取器,该窃取器在种种地下论坛中经常泛起,它能够从种种网页浏览器、邮件客户端、加密钱币钱包等中提取数据。但攻击者对Cobalt Strike的使用更值得关注。

在后行使阶段,攻击者主要依赖Cobalt Strike,在攻击周期的各个阶段行使其功效,好比jump psexec、jump psexec_psh、SMB Beacons,攻击者有时还使用了一些不太常见的手艺,如WMI和WinRM来执行远程主机上的Beacon stagers。

由于Cobalt Strike具有凭证转储功效,因此攻击者行使了mimikatz的sekurlsa :: logonpasswords,在某些情形下也使用单独的二进制文件在主机上运行mimikatz。该工具用获得的哈希值和mimikatz的sekurlsa :: pth来实现横向移动功效。

Beacon的功效还用于扫描受熏染的网络。此外,该组织还行使了一些自界说工具来举行网络侦探。第一个工具称为Netping——它是一种简朴的扫描程序,能够网络有关网络中流动主机的信息并将其保留到文本文件中,另一个工具Protoping可以网络有关可用网络共享的信息。如net view的内置工具也有被滥用网络网络中主机的信息,nltest适用工具用于网络受熏染域的信息。

除了Cobalt Strike能够在远程主机上运行Beacon stagers外,攻击者还使用远程桌面协议举行横向移动。他们有一个名为RDP .bat的批处置剧本,用于启用RDP毗邻并在目的主机上添加响应的防火墙规则。

Ficker并不是攻击者武器库中唯一热门的工具。SystemBC是另一种在种种勒索软件运营商中越来越受迎接的工具,纵然Cobalt Strike流动被检测和阻止,此类后门程序也能使攻击者下载并执行有用负载。

勒索软件部署的方式简朴但有用,与其他行动类似,攻击者通常行使PsExec举行部署。

所窃取的数据将宣布在专用的Cuba DLS(数据泄露站点)上。

住手4月28日,该网站主要提供了9家美国公司的数据供其他人免费下载,这些公司都是拒绝支付赎金大型公司,包罗航空、金融、教育、制造和物流。预计现实受害者人数会更高。

网站还包罗付费内容部门:

Cuba DLS上的付费内容

凭证Group-IB TI&A的说法,勒索软件部署背后的组织是Balbesi。只管该组织在操作中运用了相当普遍的手艺,但它们的攻击仍然异常有用,而且影响了各个部门的组织,包罗金融、制药、教育、工业、专业服务和软件开发,这些部门主要集中在欧洲和美国。

本文翻译自:https://blog.group-ib.com/hancitor-cuba-ransomware

鲸鱼矿池

鲸鱼矿池官网(www.ipfs8.vip)是FiLecoin致力服务于使用FiLecoin存储和检索数据的官方权威平台。鲸鱼矿池官网实时更新FiLecoin(FIL)行情、当前FiLecoin(FIL)矿池、FiLecoin(FIL)收益数据、各类FiLecoin(FIL)矿机出售信息。并开放FiLecoin(FIL)交易所、IPFS云矿机、IPFS矿机出售、租用、招商等业务。

网友评论

5条评论
  • 2022-02-24 00:00:17

    据透露,生意将在当地时间7月31日理查德森的薪水上升到1160万美元以前完成。完成该笔生意后,独行侠的薪资空间可能上升到3300万美元,但其中一部门可能要花在小蒂姆-哈达威身上。再见,晚上继续看

  • 2022-05-14 00:07:21

    记者从《cong》28日下午的“321”东航MU5735航空{kong}器飞〖fei〗行事故国‘guo’家应急处 chu[置指(zhi)挥部「bu」第九‘jiu’场 chang[新闻 wen[发布会上获悉,截至【zhi】28日 ri[12时,搜寻 xun[人员累{lei}计(ji)出动15640人次,对〖dui〗核{he}心区和周《zhou》边重点〖dian〗区域进〖jin〗行 xing[反复搜索,找到〖dao〗飞机《ji》残‘can’骸和碎片36001件。老读者赞一个