s0499-hancitor - RunkIntel

# Hancitor > [!danger] Resumo > Loader/downloader ativo desde 2014, distribuido via campanhas de malspam em larga escala com documentos Word maliciosos usando lures do DocuSign. Notorio pela parceria com o ransomware Cuba: em dezembro de 2021, o FBI emitiu flash alert documentando 49 organizacoes comprometidas via Hancitor -> Cuba ransomware, com $43,9 milhões de resgaté recebidos. Distribui payloads incluindo Cobalt Strike, Ficker Stealer, NetSupport RAT e o [[s0453-pony|Pony]] stealer. ## Visão Geral O [[s0499-hancitor|Hancitor]] (também conhecido como Chanitor) e um downloader/loader de malware em operação desde pelo menos 2014, distribuido via campanhas de malspam altamente padronizadas. O modelo operacional do Hancitor e distinctivo: atua como plataforma de acesso inicial por assinatura, vendendo instalacoes para outros grupos criminosos que então entregam seus proprios payloads de segundo estagio. O lure canonico do [[s0499-hancitor|Hancitor]] e um e-mail simulando notificação do DocuSign - "Sign the document" com link para download de documento Word malicioso. O documento usa macros para executar o Hancitor via `rundll32.exe`. Variantes mais recentes abusam da função `verclsid.exe` (LOLBAS) para evadir controles de execução de macros. O malware realiza verificação de sandbox (hardware fingerprint, resolução de tela, presenca de maquina virtual) antes de prosseguir com infecção. A parceria mais documentada do [[s0499-hancitor|Hancitor]] foi com os operadores do [[cuba-ransomware|ransomware Cuba]] - grupo rastreado pelo Group-IB como "Balbesi". O FBI emitiu Flash Alert (MU-000167-MW) em dezembro de 2021 documentando 49 entidades do setor de infraestrutura critica comprometidas, com $43,9 milhões de resgaté recebidos e $74 milhões exigidos. A cadeia era: Hancitor -> Cobalt Strike -> Cuba ransomware com dupla extorsao via site de vazamento "Cuba". Historicamente, o [[s0499-hancitor|Hancitor]] também distribuiu [[s0453-pony|Pony]] stealer (2016-2018), Vawtrak banking trojan, Ficker Stealer (2020-2021) e NetSupport RAT. O ciclo de campanhas tipico e de 2-3 semanas ativas seguidas de pausa para desenvolvimento de nova variante. Domínios C2 sao gerados dinâmicamente (DGA) e infraestrutura e rodada em servidores comprometidos. **Plataformas:** Windows ## Como Funciona 1. **Entrega**: E-mail de malspam com link DocuSign falso ou PDF/ZIP com link para download de documento Word 2. **Execução**: Macro do Word executa `rundll32.exe` carregando DLL do Hancitor, ou abusa de `verclsid.exe` como proxy de execução LOLBAS 3. **Anti-análise**: Verifica resolução de tela (< 800x600 = sandbox), presenca de VM via CPUID, número de processos (< 10 = sandbox) 4. **Registro e C2**: Registra sistema no C2 via HTTP POST com informações de fingerprint; recebe lista de URLs de payload em resposta 5. **Download de payloads**: Baixa e injeta Cobalt Strike, Cuba ransomware, Ficker stealer ou NetSupport RAT via process injection 6. **Exfiltração/Impacto**: Payload de segundo estagio realiza exfiltração de dados ou criptografia para ransomware ## Attack Flow - Hancitor ```mermaid graph TB A["Malspam DocuSign Link falso para documento Word com macro"] --> B["Execução Macro rundll32.exe carrega DLL do Hancitor"] B --> C["Anti-Sandbox Verifica resolução, VM, número de processos"] C --> D["Registro C2 HTTP POST com fingerprint do sistema infectado"] D --> E["Download Payloads Cobalt Strike, Ficker, NetSupport RAT via injecao"] E --> F["Cobalt Strike Movimento lateral, reconhecimento de rede"] F --> G["Cuba Ransomware Dupla extorsao: criptografia + vazamento"] ``` ## Timeline de Atividade ```mermaid timeline title Hancitor - Historico e Parcerias 2014 : Primeiros avistamentos - distribuindo Pony e DELoader 2016 : Parceria com Vawtrak banking trojan - campanhas financeiras 2018 : Adota DGA para infraestrutura C2 - maior resiliencia 2020 : Nova parceria com Ficker Stealer e NetSupport RAT 2020-11 : Campanhas com lures COVID-19 e notificacoes de entrega 2021 : Parceria Cuba ransomware - Big Game Hunting 2021-12 : FBI Flash Alert MU-000167-MW - 49 vitimas, $43.9M Cuba ransomware 2022 : Atividade reduz significativamente pos-disrupcao infraestrutura ``` ## TTPs - Hancitor | Tática | Técnica | Descrição | |--------|---------|-----------|| | Acesso Inicial | [[t1566-001-spearphishing-attachment\|T1566.001]] | E-mail malspam com documento Word malicioso | | Acesso Inicial | [[t1566-002-spearphishing-link\|T1566.002]] | Link para download de documento via DocuSign falso | | Execução | [[t1204-002-malicious-file\|T1204.002]] | Macro Word executa payload via rundll32 | | Execução | [[t1218-012-verclsid\|T1218.012]] | verclsid.exe como proxy LOLBAS para execução | | Evasão | [[t1497-virtualizationsandbox-evasion\|T1497]] | Verificação de VM e sandbox antes de ativacao | | Evasão | [[t1027-obfuscated-files-or-information\|T1027]] | DLL comprimida e obfuscada | | Persistência | [[t1547-001-registry-run-keys-startup-folder\|T1547.001]] | Chave Run no registro para sobreviver reboot | | C2 | [[t1105-ingress-tool-transfer\|T1105]] | Download de payloads de segundo estagio via HTTP | ## Relevância LATAM/Brasil > [!latam] Relevância para o Brasil > **Hancitor** é relevante para o Brasil principalmente como gateway para o **ransomware Cuba** e infostealers de credenciais financeiras. Campanhas de malspam com lures de DocuSign são facilmente localizadas para português com temas de **NFe (Nota Fiscal Eletrônica)** ou **SEFAZ**. O setor de infraestrutura crítica brasileiro — energia (**Petrobras**, distribuidoras), financeiro e saúde — é alvo típico de Big Game Hunting via a cadeia Hancitor → Cobalt Strike → Cuba ransomware. Organizações com Exchange on-premises não segmentado são especialmente vulneráveis. O [[s0499-hancitor|Hancitor]] tem relevância para o Brasil principalmente como gateway para [[cuba-ransomware|ransomware Cuba]] e infostealers de credenciais financeiras. Campanhas de malspam em larga escala que usam lures de fatura, entrega e notificacoes de documentos sao facilmente localizadas para portugues brasileiro - o modelo de DocuSign falso funciona igualmente bem com lures adaptados para NFe (Nota Fiscal Eletronica) ou SEFAZ. O setor de infraestrutura critica brasileiro - energia (Petrobras, distribuidoras), financeiro e saúde - e alvo tipico de campanhas de Big Game Hunting via Hancitor -> Cuba ransomware. A cadeia e particularmente perigosa porque o Cobalt Strike como intermediario permite movimento lateral extenso antes do deploy do ransomware, maximizando impacto. O [[s0453-pony|Pony]] stealer, historicamente distribuido pelo Hancitor, tem documentacao de campanhas específicas contra bancos brasileiros (Bradesco, Itau, Caixa Economica Federal). Organizacoes com Exchange on-premises ou Active Directory nao segmentado sao especialmente vulneraveis ao padrao de ataque Hancitor -> Cobalt Strike -> Cuba. ## Detecção > [!tip] Indicadores de Detecção > - Monitorar `WINWORD.EXE` ou `EXCEL.EXE` gerando processos filhos como `rundll32.exe` ou `verclsid.exe` > - Alertar sobre `verclsid.exe` executando DLLs fora de diretorio do sistema (`C:\Windows\System32`) > - Detectar HTTP POST com payload Base64 para URIs curtos (< 10 caracteres) em dominios nao categorizados > - Regra Sigma: `proc_creation_win_rundll32_no_params.yml` - rundll32 sem parametros válidos > - Monitorar criação de chave `HKCU\Software\Microsoft\Windows\CurrentVersion\Run` por processos Office ## Referências - [1](https://attack.mitre.org/software/S0499/) MITRE ATT&CK - Hancitor S0499 (2024) - [2](https://www.ic3.gov/Media/News/2021/211203.pdf) FBI Flash Alert MU-000167-MW - Cuba Ransomware via Hancitor (2021) - [3](https://www.proofpoint.com/us/blog/threat-insight/hancitor-makes-moves) Proofpoint - Hancitor Makes Moves (2020) - [4](https://www.group-ib.com/blog/cuba-ransomware/) Group-IB - Cuba Ransomware: o Elo com o Hancitor (2021) - [5](https://thedfirreport.com/2021/11/01/from-zero-to-domain-admin/) The DFIR Report - From Zero to Domain Admin via Hancitor (2021) - [6](https://malpedia.caad.fkie.fraunhofer.de/details/win.hancitor) Malpedia - Hancitor Family (2024)