Der Zloader-Trojaner (auch bekannt als Zeus Sphinx und Terdot) wurde erstmals im August 2015 entdeckt. Er basiert auf dem geleakten Quellcode des Zeus v2-Trojaners und wurde von Cyberkriminellen bei Angriffen auf Finanzorganisationen weltweit eingesetzt, um über Web-Injections sensible Daten zu sammeln. Anfang 2018 verschwand der Einsatz dieses Banking-Trojaners in freier Wildbahn, aber im Dezember letzten […]
Regelübersicht: Trojaner, Cyber-Spione und die RATicate-Gruppe
Diese Woche in unserem Digest gibt es Regeln, die ausschließlich von Teilnehmern des Threat Bounty Program. Der Bedrohungsakteur hinter der jüngsten Ursnif-Variante führt möglicherweise gezielte Cyberkriminalitätsoperationen durch, die noch andauern. Im Herzen dieser Kampagnen steht eine Variante des Ursnif-Trojaners, die als Downloader und Aufklärungstool umfunktioniert wurde, um die speziellen Bedürfnisse des Akteurs zu erfüllen. Die […]
Regel der Woche: QakBot-Malware-Erkennung
Der QakBot-Banking-Trojaner (auch bekannt als QBot) wird seit über 10 Jahren in Angriffen auf Organisationen eingesetzt, und seine Autoren überwachen kontinuierlich die Bedrohungslandschaft, um neue Funktionen hinzuzufügen oder diese zu entfernen, wenn sie nicht ordnungsgemäß funktionieren. Im Jahr 2017 besaß diese Malware wurmähnliche Fähigkeiten und war in der Lage, Active Directory-Benutzer zu sperren, um Organisationen […]
Erkennungsinhalt: Kpot Info-Stealer-Kampagne
COVID-19 ist bei weitem das beliebteste Thema, das von Cyberkriminellen in Phishing- und Malspam-Kampagnen ausgenutzt wird. Kürzlich haben Angreifer eine neue und effektive Methode gefunden, um den Benutzer davon zu überzeugen, einen bösartigen Anhang zu öffnen. Forscher von IBM X-Force entdeckten eine bösartige Kampagne, die E-Mails verwendete, die vorgeben, Nachrichten vom US-amerikanischen Arbeitsministerium zu sein. […]
Threat Hunting Inhalt: TAINTEDSCRIBE Trojaner
Letzte Woche veröffentlichten CISA, FBI und DoD Malware-Analyseberichte über kürzlich entdeckte Werkzeuge der berüchtigten Lazarus-Gruppe, die im Interesse der nordkoreanischen Regierung operieren. Die Malware-Varianten, genannt COPPERHEDGE, TAINTEDSCRIBE und PEBBLEDASH, können für Aufklärung und das Löschen vertraulicher Informationen auf Zielsystemen verwendet werden. Die TAINTEDSCRIBE-Malware wird als Backdoor-Implantat verwendet, getarnt als Microsofts Narrator. Die Lazarus-Gruppe nutzt sie, […]
Erkennung Inhalte: Jagd auf Netwire RAT
NetWire ist ein öffentlich verfügbarer Remote Access Trojaner, der Teil der NetWiredRC Malware-Familie ist und seit 2012 von Cyberkriminellen genutzt wird. Seine Hauptfunktionalität konzentriert sich auf das Stehlen von Anmeldedaten und Keylogging, aber er hat auch Fernsteuerungsfähigkeiten. Gegner verbreiten NetWire oft durch Malspam und Phishing-E-Mails. In einer kürzlichen Kampagne zielten Cyberkriminelle auf Nutzer in Deutschland […]
Interview mit Entwickler: Emir Erdogan
Wir führen weiterhin Interviews mit den Mitgliedern des Threat Bounty Program (https://my.socprime.com/en/tdm-developers), und heute möchten wir Ihnen Emir Erdogan vorstellen. Emir nimmt seit September 2019 an dem Programm teil, er hat über 110 Sigma-Regeln auf seinen Namen veröffentlicht, aber Emir veröffentlicht auch YARA-Regeln, um tatsächliche Bedrohungen zu erkennen. Seine Regeln werden oft in unseren Blogbeiträgen gefunden: […]
Threat-Hunting-Inhalte: HawkEye Mehrfacherkennung
Wir beginnen die Woche mit einer neuen Regel von Emir Erdogan – HawkEye Multiple Detection (Covid19 Thematisierte Phishing-Kampagne). Diese Malware ist auch als Predator Pain bekannt und stiehlt eine Vielzahl sensibler Informationen vom infizierten System, darunter Bitcoin-Wallet-Informationen und Anmeldedaten für Browser und E-Mail-Clients. Der Stealer ist in der Lage, Screenshots zu machen und kann als […]
Regelzusammenfassung: RCE, CVE, OilRig und mehr
Dieses Digest enthält Regeln sowohl von Mitgliedern des Threat Bounty Program als auch vom SOC Prime Team. Beginnen wir mit den Regeln von Arunkumar Krishna, die in unserem Regel-Digest debütieren mit CVE-2020-0932: Eine Remote-Code-Ausführungs-Schwachstelle in Microsoft SharePoint. CVE-2020-0932 wurde im April gepatcht und erlaubt authentifizierten Benutzern, beliebigen Code auf einem SharePoint-Server auszuführen. Die Standardkonfiguration von […]
Regel der Woche: Nefilim/Nephilim Ransomware-Erkennung
Diese Woche möchten wir die Community Sigma-Regel von Emir Erdogan hervorheben, die hilft, Nefilim/Nephilim-Ransomware zu erkennen in destruktiven Angriffen eingesetzt. Diese Ransomware-Familie wurde vor zwei Monaten erstmals entdeckt und ihr Code basiert auf der NEMTY-Ransomware, die letzten Sommer als öffentliches Affiliate-Programm aufkam. Es sieht so aus, als ob NEMTY in zwei separate Projekte geforkt wurde, […]