Erkennungsinhalt: Himera Loader

Der heutige Beitrag ist dem Himera-Loader-Malware gewidmet, die von Angreifern in COVID-19-bezogenen Phishing-Kampagnen seit dem letzten Monat verwendet wird. Cyberkriminelle nutzen weiterhin Anfragen im Rahmen des Family and Medical Leave Act im Zusammenhang mit den laufenden COVID-19-Pandemien als Köder, da dieses Thema sich bereits als effektiv erwiesen hat, um Trickbot und Kpot Info-Stealer zu verbreiten. 

In den jüngsten Kampagnen wurden E-Mails mit zwei universellen Cyberkriminellen-Tools bewaffnet: Himera und Absent-Loader. Diese Woche veröffentlichte Osman Demir eine Bedrohungsjagdregel zur Erkennung von Himera-Loader-Proben, die mit diesen Kampagnen verbunden sind: https://tdm.socprime.com/tdm/info/xiOqL9btiBMi/pOZfdXIBv8lhbg_imf_P/?p=1

In dieser Kampagne nutzen Angreifer keinen Makro oder Exploit in dem bösartigen Dokument, stattdessen enthält das Dokument das gesamte ausführbare Programm als eingebettetes Objekt. Der Himera-Loader spezialisiert sich auf das Laden des nächsten Malware-Codes auf der Maschine des Opfers. Er führt einige klassische Anti-Analyse-Tricks mithilfe der Windows API durch, um die primäre Nutzlast für Forscher zu verbergen und die Kampagne länger geheim zu halten.

Die Regel hat Übersetzungen für die folgenden Plattformen:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio, 

EDR: Carbon Black, Elastic Endpoint

MITRE ATT&CK: 

Taktiken: Ausführung

Techniken: Benutzer-Ausführung (T1204)