Hash / InformaçãoValor
SHA2562c4557c9b0b5f18c6cffb810cbbb07601ae0b1b071658611523bf980d814d7b8
MD5b4095bc22ff3f27dd088852a49338c08
SHA1fb5d1506454a79cc41086d65e6f72a4493185f3f
Arquivo Adi0902_6686864155.doc
Tipo de arquivodoc
Tamanho440,832 bytes
Primeira detecção2021-09-04

Tehdit Valorlendirmesi

Bu ornek, hedef sisteme ek zararlı yazılım yuklemek amacıyla tasarlanmis moduler bir yukleyici (loader) olarak tespit edilmistir. Bankacılık trojanları, fidye yazılımları veya diger ikinci asama yukler indirebilmektedir.

Capacidades detectadas

  • Payload Indirme
  • Surec Enjeksiyonu
  • Kalicilik
  • Anti-Analiz
  • Sifrelenmis Iletisim

Tags do MalwareBazaar

docHancitor

Nota de análise

Bu ornek Hancitor ailesine ait ve MalwareBazaar platformundan alınmıstır. KEYDAL Guvenlik Arastirmaları tarafından metadata analizi gerceklestirilmis ve IOC veritabanına eklenmistir.

Hancitor — Perfil do malware

Hancitor (Chanitor) email dropper. PuTTY SSH disguise. Cobalt Strike/Ficker dropper.

Tipo de malware
Loader
Linguagem de programação
C
Protocolo C2
HTTP
Sistemas-alvo
Windows

Detalhes técnicos

Loader ailesi: HTTP/HTTPS C2, payload sifre cozme ve bellek icerisinde yükleme, anti-sandbox/VM kontrolleri, process injection, persistence mekanizmasi, yükü indirme ve calistirma zinciri

Capacidades e comportamento

Payload İndirme
Süreç Enjeksiyonu
Modüler Mimari
Kimlik Bilgisi Hırsızlığı
Yanal Hareket
Kalıcılık
Anti-VM/Sandbox
İkincil Payload Dağıtımı

Lista IOC (2 indicadores)

IOC — Hancitor
# SHA256 2c4557c9b0b5f18c6cffb810cbbb07601ae0b1b071658611523bf980d814d7b8 # MD5 b4095bc22ff3f27dd088852a49338c08
TipoValorNota
sha256 2c4557c9b0b5f18c6cffb810cbbb07601ae0b1b071658611523bf980d814d7b8
md5 b4095bc22ff3f27dd088852a49338c08

Servidores C2 (1 servidores registrados para esta família)

Endereço Tipo Porta Protocolo Status País
5.61.46.161 ip 80 HTTP sinkholed UA

Os endereços C2 são fornecidos apenas a partir de amostras de malware verificadas manualmente pela equipe KEYDAL. O uso comercial é proibido.

Tags
docHancitor