Erkennungsinhalt: Kpot Info-Stealer-Kampagne

COVID-19 ist bei weitem das beliebteste Thema, das von Cyberkriminellen in Phishing- und Malspam-Kampagnen ausgenutzt wird. Kürzlich haben Angreifer eine neue und effektive Methode gefunden, um den Benutzer davon zu überzeugen, einen bösartigen Anhang zu öffnen. Forscher von IBM X-Force entdeckten eine bösartige Kampagne, die E-Mails verwendete, die vorgeben, Nachrichten vom US-amerikanischen Arbeitsministerium zu sein. Gegner missbrauchten das Thema des Family and Medical Leave Act, das den Arbeitnehmern das Recht auf Krankheitsurlaub gewährt, um Benutzer dazu zu bringen, Malware auf ihren Systemen zu installieren. Ende April verbreiteten Cyberkriminelle die berüchtigte TrickBot-Malware durch diese Kampagne. Es lief so gut für sie, dass eine andere Gruppe beschloss, ihren Erfolg zu wiederholen und begann mit ähnlichen E-Mails um Kpot-Infostealer zu verbreiten.

Kpot Infostealer ist eine Commodity-Malwarefamilie, die seit über 2 Jahren in Angriffen eingesetzt wird. Die Malware erhielt ihren Namen von einem öffentlich auf dem Admin-Panel vorhandenen String. Sie kann Kontoinformationen und andere sensible Daten von Webbrowsern, Instant-Messengern, E-Mail, VPN, RDP, FTP, Kryptowährungen und Gaming-Software exfiltrieren.  for 2+ years. The malware got its name from a string publicly present on the Admin-Panel. It can exfiltrate account information and other sensitive data from web browsers, instant messengers, Email, VPN, RDP, FTP, cryptocurrency, and gaming software. 

Eine exklusive Regel von Osman Demir erkennt die Installation von Kpot-Malware und deren Kommunikation mit C&C-Servern: https://tdm.socprime.com/tdm/info/ii9QqpiHyqy6/WAp0MXIBAq_xcQY4kDqR/?p=1

Die Regel hat Übersetzungen für die folgenden Plattformen:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio

EDR: Carbon Black, Elastic Endpoint

MITRE ATT&CK: 

Taktiken: Erste Zugang

Techniken: Spearphishing-Anhang (T1193)

Weitere Regeln zur Erkennung dieser Bedrohung:

KPOT-Verhalten (Sysmon-Erkennung) von Ariel Millahuel – https://tdm.socprime.com/tdm/info/GLHwVXtutFHs/00Hs53ABya7YkBmwZL3D/
Powershell Downloader (KPOT-Malware) by Emir Erdogan – https://tdm.socprime.com/tdm/info/UsThElkyx4kQ/OgkSeHEBAq_xcQY4Fq6F/

Alle Regeln von Osman Demir auf TDM anzeigen: Autor im Filterbereich angeben oder die Lucene-Suchabfrageoption zur Suche verwenden (tags.author:Osman Demir). 

https://tdm.socprime.com/?authors[]=Osman+Demir