Erkennungsinhalt: Himera Loader

[post-views]
Juni 04, 2020 · 2 min zu lesen
Erkennungsinhalt: Himera Loader

Der heutige Beitrag ist dem Himera-Loader-Malware gewidmet, die von Angreifern in COVID-19-bezogenen Phishing-Kampagnen seit dem letzten Monat verwendet wird. Cyberkriminelle nutzen weiterhin Anfragen im Rahmen des Family and Medical Leave Act im Zusammenhang mit den laufenden COVID-19-Pandemien als Köder, da dieses Thema sich bereits als effektiv erwiesen hat, um Trickbot und Kpot Info-Stealer zu verbreiten. 

In den jüngsten Kampagnen wurden E-Mails mit zwei universellen Cyberkriminellen-Tools bewaffnet: Himera und Absent-Loader. Diese Woche veröffentlichte Osman Demir eine Bedrohungsjagdregel zur Erkennung von Himera-Loader-Proben, die mit diesen Kampagnen verbunden sind: https://tdm.socprime.com/tdm/info/xiOqL9btiBMi/pOZfdXIBv8lhbg_imf_P/?p=1

In dieser Kampagne nutzen Angreifer keinen Makro oder Exploit in dem bösartigen Dokument, stattdessen enthält das Dokument das gesamte ausführbare Programm als eingebettetes Objekt. Der Himera-Loader spezialisiert sich auf das Laden des nächsten Malware-Codes auf der Maschine des Opfers. Er führt einige klassische Anti-Analyse-Tricks mithilfe der Windows API durch, um die primäre Nutzlast für Forscher zu verbergen und die Kampagne länger geheim zu halten.

Die Regel hat Übersetzungen für die folgenden Plattformen:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio, 

EDR: Carbon Black, Elastic Endpoint

 

MITRE ATT&CK: 

Taktiken: Ausführung

Techniken: Benutzer-Ausführung (T1204)

War dieser Artikel hilfreich?

Gefällt es Ihnen, teilen Sie es mit Ihren Kollegen.
Treten Sie der Detection as Code-Plattform von SOC Prime bei um die Sichtbarkeit in Bedrohungen zu verbessern, die für Ihr Unternehmen am relevantesten sind. Um Ihnen den Einstieg zu erleichtern und sofortigen Nutzen zu bieten, buchen Sie jetzt ein Treffen mit SOC Prime-Experten.