Datei-loses Malware-Erkennung: AveMariaRAT / BitRAT / PandoraHVNC Angriffe
Inhaltsverzeichnis:
Cyberkriminelle nehmen Microsoft Windows-Benutzer ins Visier, indem sie in einer neuen Phishing-Kampagne drei verschiedene fileless Malware-Varianten gleichzeitig einsetzen. Die Phishing-Mail imitiert einen Zahlungsbericht einer vertrauenswürdigen Quelle, mit einer kurzen Aufforderung, das beigefügte Microsoft Excel-Dokument zu betrachten. Die Datei enthält präparierte Makros und setzt, einmal gestartet, die Malware frei, die darauf abzielt, die sensiblen Daten des Opfers zu stehlen. Die Angreifer verteilen die folgende Malware: BitRAT, PandoraHVNC und AveMariaRAT.
Fileless Malware erkennen
Unser renommierter Threat Bounty-Entwickler Emir Erdogan hat eine Sigma-Regel veröffentlicht, die Ihnen hilft zu erkennen, ob Sie von einer der drei fileless Malware-Varianten betroffen sind, die durch eine Phishing-E-Mail via process_creation eingeschleust wurden:
AveMariaRAT / BitRAT und PandoraHVNC-Erkennung via process_creation
Die Erkennung ist für 23 SIEM-, EDR- und XDR-Plattformen verfügbar, abgestimmt auf das neueste MITRE ATT&CK® Framework v.10, das die taktische Ausführung mit Command and Scripting Interpreter (T1059) und Scheduled Task/Job (T1053) als primäre Techniken adressiert.
Treten Sie dem Threat Bounty-Programm bei, um vollen Zugang zum einzigen Threat Detection Marketplace zu erhalten, in dem Forscher ihre Inhalte monetarisieren. Verbessern Sie Ihr Sicherheitsarsenal mit vendorübergreifenden und werkzeugübergreifenden Erkennungsinhalten, die für über 25 marktführende SIEM-, EDR- und XDR-Technologien maßgeschneidert sind: Klicken Sie auf die Schaltfläche Erkennungen anzeigen , um sofortigen Zugriff auf die umfassende Bibliothek von Erkennungsalgorithmen von SOC Prime zu erhalten.
Erkennungen anzeigen Dem Threat Bounty beitreten
Beschreibung der fileless Malware
Forscher von Fortinet teilten die Ergebnisse ihrer Untersuchung einer Reihe von Phishing-Angriffen mit, die Microsoft Windows-Benutzer betreffen. In dieser Phishing-Kampagne versendeten Bedrohungsakteure einen betrügerischen Zahlungsbericht, der sich als vertrauenswürdige Quelle tarnte, mit einem bösartigen Microsoft Excel-Dokument. Das Ziel ist es, die E-Mail-Empfänger dazu zu verleiten, die mit Makros versehene Datei herunterzuladen. Sobald das potenzielle Opfer diese öffnet, zeigt Office eine Sicherheitswarnung an, die empfiehlt, Makros zu deaktivieren. Wenn der Nutzer diese Empfehlung ignoriert und stattdessen Makros aktiviert, öffnet sich ein Weg für das Eindringen von Malware.
Die Malware wird mit VBA-Skripten und PowerShell auf dem PC des Opfers abgerufen und installiert. Dieser Code umfasst drei Code-Segmente – die drei Malware-Typen. Die Zielpersonen, die einem Angriff zum Opfer fallen, erhalten drei fileless Malware-Stämme, nämlich AveMariaRAT, BitRAT und PandoraHVNC. Die Malware wird verwendet, um vertrauliche Informationen zu stehlen und andere bösartige Aufgaben auszuführen.
Derzeit nimmt der Einsatz bösartiger Makros zu. Mit proaktiven Cyber-Verteidigungslösungen von SOC Prime erhöhen Sicherheitsteams die Chancen auf eine effiziente Erkennung und rechtzeitige Abwehr von Angriffen. Bekämpfen Sie Cyber-Bedrohungen, die Ihre Sicherheitslösungen umgehen, mit über 185.000 Erkennungsregeln, Parsern, Suchanfragen und anderen Inhalten, angereichert mit CTI-, MITRE ATT&CK-Referenzen, CVE-Beschreibungen und weiteren relevanten Kontextinformationen, die alle im Threat Detection Marketplace Repository der SOC Prime-Plattform verfügbar sind.
Aufstrebende und professionelle SOC-Spezialisten sind ebenfalls willkommen, auf die Cyber-Bibliothek zuzugreifen, um ihre SIEM-Hard-Skills zu meistern, tiefgehende Ausbildungsvideos anzusehen und sich mit Anleitungen zur Bedrohungssuche auf dem Laufenden zu halten.
