L'aggiornamento che non puoi permetterti di ignorare: fine del supporto per Office 2016 e Office 2019

Leggi ora
Per le traduzioni dei siti utilizziamo l'intelligenza artificiale e, sebbene ci sforziamo di essere accurati, non sempre le traduzioni sono precise al 100%. La vostra comprensione è apprezzata.
Casa/ Il blog / L'uso di Hancitor dell'attacco Cobalt Strike - Puoi...
Sicurezza dei file

L'uso di Hancitor dell'attacco al cobalto: potete evitarlo?

Di Ngoc Nguyen, responsabile marketing senior
Condividi questo post

Sintesi

In July 2021, there was a sophisticated cyber intrusion utilizing a link to Google’s Feed Proxy service to download a harmful Microsoft Word file to the victims’ device. Once the macros were innocently enabled by users, a Hancitor payload dynamic-link library (DLL) was executed and called the ubiquitous Cobalt Strike tool, which dropped multiple payloads after profiling a compromised network. Within an hour, the attacker can gain domain admin privileges and full control over the domain. In this blog, we describe how OPSWAT Multiscanning solution - Metascan and Deep CDR™ Technology (Content Disarm and Reconstruction) found the potential threat and prevented this advanced attack.

L'attacco

Come molti attacchi informatici al giorno d'oggi, l'intrusione è iniziata con un'e-mail di spear-phishing a uno o più utenti della rete target. Conosciamo bene le tattiche di attacco che utilizzano macro nascoste nei file per scaricare payload dannosi. Questo attacco è ancora più evasivo e sofisticato, poiché la macro incorporata non scarica direttamente i payload, ma estrae ed esegue uno shellcode (oggetto OLE) all'interno del documento per scaricare i payload dannosi.

Agli utenti è stato inviato un documento Microsoft Word con macro dannose in grado di installare copie incorporate del trojan downloader Hancitor[1]. Quando gli utenti hanno aperto e attivato le macro nascoste nel file, questo ha scritto ed eseguito un file DLL dalla cartella appdata delle vittime. Quindi la DLL di Hancitor ha scaricato e consegnato vari payload contenenti Cobalt Strike[2] e Ficker Stealer[3].

Come OPSWAT può aiutarvi a prevenire questo attacco avanzato

Eseguendo la scansione del file MS Word dannoso con OPSWAT MetaDefender , solo 17/35 motori antivirus hanno trovato la minaccia. Questa è una prova inconfutabile del fatto che la scansione con uno o pochi motori AV non è sufficiente a proteggere l'organizzazione e gli utenti. Il malware avanzato con tattiche evasive può aggirare le difese tradizionali. Un singolo motore antivirus può rilevare il 40%-80% del malware. OPSWAT Metascan consente di eseguire rapidamente la scansione dei file con oltre 30 motori antimalware in sede e nel cloud per ottenere tassi di rilevamento superiori al 99%.

However, the best approach to ensure your organization and users are protected from sophisticated and zero-day attacks is to sanitize all files with Deep CDR™ Technology. Files are evaluated and verified as they enter the sanitization system to ensure file type and consistency. Then, all file elements are separated into discrete components and potentially malicious elements are removed or sanitized. By providing a detailed sanitization report, Deep CDR™ Technology also enables administrators to analyze the malware behavior without any additional analysis tool. We demonstrate hereunder how Deep CDR™ Technology removed all potential threats in the file and provided a safe-to-consume file to users.

Processing the malevolent Word document with Deep CDR™ Technology, we found several active components, including an OLE object and four macros. We deobfuscated the code and saw that it tried to run (C:\Windows\System32\rundll32.exe C:\users\admin\appdata\roaming\microsoft\templates\ier.dll,HEEPUBQQNOG).

Come mostrato nel risultato della sanificazione, tutto il contenuto attivo del documento è stato rimosso dal file. Uno degli oggetti incorporati (l'oggetto OLE) avrebbe installato il trojan Hancitor (file ier.dll) sul computer degli utenti (una volta attivato involontariamente) se non fosse stato neutralizzato prima di raggiungerli.

Per proteggere la propria rete, è fondamentale per qualsiasi organizzazione assicurarsi che tutti i file e le e-mail inviati ai propri dipendenti interni siano sicuri, garantendo al contempo la fruibilità dei file. Forniamo file sicuri con la massima fruibilità in pochi millisecondi, in modo che il vostro flusso di lavoro non venga interrotto.

By sanitizing each file and removing any potential embedded threats, Deep CDR™ Technology effectively ‘disarms’ all file-based threats including - known and unknown threats; complex and sandbox aware threats; and threats that are equipped with malware evasion technology such as Fully Undetectable malware, VMware detection, obfuscation and many others.

Learn more about Deep CDR™ Technology or talk to an OPSWAT technical expert to discover the best security solution to prevent zero-day and advanced evasive malware.

1. Hancitor è un downloader di malware che apre "backdoor" per l'infiltrazione di altri virus.
2. Cobalt Strike è uno strumento di accesso remoto che è stato cooptato dai criminali informatici per fornire malware di follow-up.
3. FickerStealer è un malware ruba-informazioni progettato per estrarre informazioni sensibili.

    Ultimi messaggi

    Iscriviti alla newsletter di OPSWAT

    Ricevete gli ultimi aggiornamenti sull'azienda OPSWAT , le informazioni sugli eventi e le notizie che fanno progredire il settore. le notizie che fanno progredire il settore.
    Iscrivimi

    Seguiteci sui social Media

    Seguite OPSWAT su LinkedIn, Facebook, Twitter e YouTube per saperne di più!

    Rimanete aggiornati con OPSWAT!

    Iscriviti oggi stesso per ricevere gli ultimi aggiornamenti sull'azienda, storie, informazioni sugli eventi e altro ancora.
    Abbonarsi