Threat Hunting-Inhalte: Emotet kehrt erneut zurück

[post-views]
Juli 24, 2020 · 2 min zu lesen
Threat Hunting-Inhalte: Emotet kehrt erneut zurück

Denn nie war eine Geschichte voller Leid als die von Emotet, der einmal mehr zurückkehrt. Diesmal gab es etwa sieben Monate lang keine großangelegten Kampagnen, obwohl vereinzelte Infektionsfälle aufgezeichnet wurden und Forscher Dokumente fanden, die diese Malware verteilten. Die Angriffe wurden letzten Freitag wieder aufgenommen, wobei das Botnetz innerhalb weniger Stunden etwa 250.000 E-Mails versandte, die sich hauptsächlich an Empfänger in den Vereinigten Staaten und im Vereinigten Königreich richteten. Seitdem versorgt das Botnetz Forscher weiterhin mit neuen Mustern, die eine führende Position auf any.run einnehmen. 

In den letzten Kampagnen hat das Botnetz den IcedID -Trojaner verteilt, aber Angreifer können ihn schnell für jede Nutzlast neu konfigurieren. Erinnern wir uns daran, dass Emotet letztes Jahr den ganzen Sommer in Urlaub ging und nach langer Zeit ‚zu Sinnen kam‘. Diesmal ging alles schneller und wir freuen uns bereits auf seinen nächsten langen Urlaub. In der Zwischenzeit präsentieren Ihnen die Mitglieder des Threat Bounty Program frische Inhalte aus der Community zur Erkennung dieser Bedrohung:

Emotet über Word-Dokument (Sysmon-Verhalten) by Lee Archinalhttps://tdm.socprime.com/tdm/info/2tYN2TlMxm0a/zMQad3MBQAH5UgbB7xy7/?p=1

Öffentlicher Cyber-Feind Emotet ist zurückgekehrt by Osman Demirhttps://tdm.socprime.com/tdm/info/mX8YnI2czLHA/pMYLe3MBQAH5UgbBgol9/?p=1

 

Die Regeln haben Übersetzungen für die folgenden Plattformen:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio

EDR: Carbon Black, Elastic Endpoint

 

MITRE ATT&CK: 

Taktiken: Erster Zugriff, Ausführung, Umgehung der Verteidigung, Kommando und Kontrolle

Techniken: Spearphishing-Anhang (T1193), Befehlszeilenschnittstelle (T1059), Indikatorentfernung auf Host (T1070), Standardanwendungsschichtprotokoll (T1071)



Bereit, SOC Prime TDM auszuprobieren? Kostenlos anmelden. Oder am Threat Bounty Program teilnehmen , um Ihre eigenen Inhalte zu erstellen und mit der TDM-Community zu teilen.

War dieser Artikel hilfreich?

Gefällt es Ihnen, teilen Sie es mit Ihren Kollegen.
Treten Sie der Detection as Code-Plattform von SOC Prime bei um die Sichtbarkeit in Bedrohungen zu verbessern, die für Ihr Unternehmen am relevantesten sind. Um Ihnen den Einstieg zu erleichtern und sofortigen Nutzen zu bieten, buchen Sie jetzt ein Treffen mit SOC Prime-Experten.

Verwandte Beiträge