Hancitor マルウェアは、スパムメールを通して配布されるダウンローダーマルウェアであり、2016年頃から出回り続けている。最近では追加のペイロードによって Cobalt Strike をインストールする形式で出回っており、ユーザーの注意が必要である。
Hancitor はスパムメールの添付ファイルやダウンロードリンクを利用して配布され、一般的な MS Office ドキュメントファイルを対象とする。最近確認されたタイプは、不正な VBA マクロが含まれた Word ドキュメントファイルである。Word ドキュメントを実行すると、以下のようなイメージを表示して、社会工学的手法を利用してユーザーがマクロを有効化する、すなわち上部の「コンテンツの有効化」ボタンをクリックするように誘導する。

マクロ有効化ボタンをクリックすると、内部の「Ole10Native」オブジェクトに存在する不正な DLL ファイルが %temp%furmt.f パスに生成される。以下のように「Ole10Native」オブジェクトを見ると、ドロップするパスとともに不正な DLL ファイルの MZ シグネチャを確認できる。

その後 VBA マクロは「%temp%furmt.f」パスに存在する不正な DLL を「\AppData\Roaming\Microsoft\Word\jers.dll」に移動させ、rundll32.exe を利用して DLL を実行する。

このようにして実行された DLL はパッキングされた形式であり、実行中に実際の Hancitor DLL をデコードした後、メモリ上で実行させる。Hancitor は 25KB のサイズを有する小さなダウンローダーマルウェアであり、ユーザーおよびコンピュータ名、IP アドレス、OS バージョンのような感染 PC の基本的な情報を取得した後、C&C サーバーに送信する。C&C サーバーは現在マルウェアを基準に3つ存在するが、それらに順番に接続し、失敗する場合は次の C&C サーバーに接続を試みる。
Hancitor C&C アドレス
– hxxp://sumbahas[.]com/8/forum.php
– hxxp://staciterst[.]ru/8/forum.php
– hxxp://semareake[.]ru/8/forum.php

C&C サーバーに以下のようなユーザー情報を送信すると、サーバーから BASE64 および追加で暗号化された文字列を渡される。

渡された文字列がデコードされると、以下のような {“コマンドの種類”:”URL”}フォーマットの文字列が確認できる。

Hancitor は渡されたコマンドに対し、以下のような条件文でそれぞれの行為を実行する。下記のコマンドを見ると「b」であるため、渡された URL から PE をダウンロードし、新しく生成した svchost.exe プロセスにインジェクションを行う。

一般的な環境において、C&C サーバーは FickerStealer という情報奪取型マルウェアのペイロードを送信する。そのため、新たに生成された svchost.exe の内部では FickerStealer のペイロードが動作し、情報奪取行為を実行する。

Hancitor は企業環境、すなわち Active Directory 環境では FickerStealer の代わりに Cobalt Strike をインストールすることが知られている。実際に AD 環境で Hancitor を実行させた結果、一般的な環境とは異なり、以下のようなコマンドを渡される。

1つは上記で言及した FickerStealer であり、他の2つは実際のバックドア型マルウェアである Beacon をダウンロードする Stager シェルコードである。FickerStealer は従来と同様に「b」コマンドによってダウンロードおよび実行され、Stager はシェルコードであるため「l」コマンドを利用する。それぞれの Stager は Beacon をダウンロードした後、svchost.exe にインジェクションを行い、感染 PC では2つの Cobalt Strike beacon が動作するようになる。
Hancitor のダウンロードアドレス
– 一つ目の Cobalt Strike Stager ダウンロードアドレス:hxxp://kuragnda2[.]ru/2804.bin
– 二つ目の Cobalt Strike Stager ダウンロードアドレス:hxxp://kuragnda2[.]ru/2804s.bin
– FickerStealer ダウンロードアドレス:hxxp://kuragnda2[.]ru/6fsjd89gdsug.exe
Cobalt Strike Stager のダウンロードアドレス
– 一つ目の Cobalt Strike Beacon ダウンロードアドレス:hxxp://45.170.245[.]190/qbU4
– 二つ目の Cobalt Strike Beacon ダウンロードアドレス:hxxp://45.170.245[.]190/dO1x
Cobalt Strike Beacon の C&C アドレス
– 一つ目の Cobalt Strike Beacon の C&C : hxxp://45.170.245[.]190/visit.js
– 二つ目の Cobalt Strike Beacon の C&C : hxxp://45.170.245[.]190/activity
FickerStealer の C&C アドレス
– hxxp://sweyblidian[.]com

Hancitor マルウェアはスパムメールを通じて拡散しているため、ユーザーは疑わしいメールを受信した場合、添付ファイルを開かないようにしなければならない。また、V3 を最新バージョンにアップデートしてマルウェアへの感染を事前にブロックできるように注意を払わなければならない。
また、AhnLab 製品は、Cobalt Strike を活用し、初期のペネトレーション段階から内部拡散時に使用される beacon のバックドアについて、プロセスメモリ基盤の検知方式とビヘイビア検知技術を所有している。
[ファイル検知]
– Downloader/Win.Hancitor.R418362 (2021.04.30.01) – Word ドキュメントファイル、Hancitor DLL.
– Dropper/MSOffice.Generic (2021.05.01.01) – Word ドキュメントファイル.
– Infostealer/Win.FickerStealer.R352614 (2020.10.05.04) – メモリ上に存在する FickerStealer
– Trojan/Win.CobaltStrike.R417512 (2021.04.24.03) – メモリ上に存在する CobaltStrike Beacon
[ビヘイビア検知]
– Malware/MDP.Execute.M363
[IOC]
ファイル
– Word ドキュメントファイル:693df6e9f5dc0cd3ed4c6ede503ce8bc
– Hancitor DLL : 5122d19bed77851f85775793e34bff09
– FickerStealer : 77be0dd6570301acac3634801676b5d7
Hancitor C&C
– hxxp://sumbahas[.]com/8/forum.php
– hxxp://staciterst[.]ru/8/forum.php
– hxxp://semareake[.]ru/8/forum.php
FickerStealer C&C
– hxxp://sweyblidian[.]com
Cobalt Strike
– hxxp://kuragnda2[.]ru/2804.bin
– hxxp://kuragnda2[.]ru/2804s.bin
– hxxp://45.170.245[.]190/qbU4
– hxxp://45.170.245[.]190/dO1x
– hxxp://45.170.245[.]190/visit.js
– hxxp://45.170.245[.]190/activity
Categories:マルウェアの情報