Zum Jahreswechsel 2023 taucht die russisch unterstĂĽtzte APT28-Hackergruppe wieder in der Cyberbedrohungsarena auf und zielt auf die kritische Infrastruktur ukrainischer Organisationen im Energiesektor ab. CERT-UA hat kĂĽrzlich einen Sicherheitsnachricht veröffentlicht, die einen Phishing-Angriff von einer gefälschten Absender-E-Mail-Adresse abdeckt, die einen Link zu einem bösartigen Archiv enthält. Dieser Link fĂĽhrt zum Herunterladen eines präparierten ZIP-Archivs mit […]
Installation und Konfiguration von Content-Paketen fĂĽr QRadar
Dieser Leitfaden beschreibt, wie Content Packs fĂĽr QRadar basierend auf dem empfohlenen Beispiel des „SOC Prime – Sigma Custom Event Properties“ Content-Pakets auf der SOC Prime Plattform bereitgestellt werden. Dieses empfohlene Content-Pack enthält erweiterte benutzerdefinierte Ereigniseigenschaften, die in Sigma-Ăśbersetzungen verwendet werden. Hinweis:SOC Prime empfiehlt die Installation des Sigma Custom Event Properties Content Packs fĂĽr QRadar […]
CVE-2023-38831 Erkennung: UAC-0057 Gruppe nutzt einen WinRAR Zero-Day aus, um eine PicassoLoader-Variante und CobaltStrike Beacon ĂĽber den Rabbit-Algorithmus zu verbreiten
The Hacker-Gruppe UAC-0057, auch bekannt als GhostWriter, tritt erneut in der Cyberbedrohungsarena auf, indem sie eine WinRAR Zero-Day-Schwachstelle ausnutzt, die als CVE-2023-38831 verfolgt wird und seit April bis August 2023 aktiv ausgenutzt wurde. Die erfolgreiche Ausnutzung von CVE-2023-38831 ermöglicht es Angreifern, die Zielsysteme mit einem PicassoLoader -Variante und Cobalt Strike Beacon Malware zu infizieren. Bemerkenswert […]
Erkennung von Exploits bei Junos OS-Schwachstellen: Hacker nutzen CVE-2023-36844 RCE-Fehlerkette aus und missbrauchen Juniper-Geräte nach PoC-Veröffentlichung
Gegner nutzen vier neu entdeckte RCE-SicherheitslĂĽcken in der J-Web-Komponente der Junos OS aus, die als CVE-2023-36844, CVE-2023-36845, CVE-2023-36846 und CVE-2023-36847 bekannt sind. Die identifizierten Schwachstellen können miteinander verknĂĽpft werden, wodurch Angreifer in der Lage sind, beliebigen Code auf den kompromittierten Instanzen auszufĂĽhren. Nach der Offenlegung eines PoC-Exploits zur Verkettung der Juniper JunOS-Schwächen sensibilisieren Cyber-Verteidiger ĂĽber […]
UAC-0173 Angriffe: Ukrainische Justizbehörden und Notare massiv mit AsyncRAT-Malware angegriffen
Cybersicherheitsexperten beobachten stark ansteigende Volumina bösartiger Aktivitäten, die darauf abzielen, den ukrainischen öffentlichen und privaten Sektor ins Visier zu nehmen, wobei offensive Kräfte häufig auf den Phishing-Angriffsvektor zur DurchfĂĽhrung des Eindringens verlassen. CERT-UA benachrichtigt Cyber-Verteidiger ĂĽber die laufende bösartige Kampagne gegen Justizbehörden und Notare in der Ukraine, bei der massenhaft E-Mails mit Köderbetreffzeilen und bösartigen […]
SOC Prime auf Discord: SchlieĂźen Sie sich einer einzigen Community fĂĽr alle Cyber-Verteidiger an, um von gemeinsamem Fachwissen zu profitieren
Im Februar 2023 startete SOC Prime seinen Discord-Server, der aufstrebende Cybersecurity-Enthusiasten und erfahrene Experten an einem Ort vereint. Die Community dient als das weltweit größte Open-Source-Zentrum fĂĽr Threat Hunters, CTI- und SOC-Analysten und Detection Engineers – also jeden, der eine echte Leidenschaft fĂĽr Cybersecurity hat. Derzeit beherbergt unser Discord-Server ĂĽber 1.500 Nutzer, und die Community […]
Erkennung von Infektionen durch Cuba Ransomware-Bedrohungsgruppe: Neue Werkzeuge in Angriffen auf kritische Infrastrukturen in den USA angewandt
Seit 2019 aktiv, Cuba-Ransomware-Betreiber entwickeln ständig ihre Angriffsmethoden weiter und scheinen damit nicht aufzuhören. Die jĂĽngsten bösartigen Operationen gegen Organisationen in den USA und Lateinamerika basieren auf einer Kombination aus neuen und älteren Werkzeugen. Besonders hinzugefĂĽgt haben die Cuba-Wartungsmitarbeiter ein Veeam-Exploit (CVE-2023-27532) zu ihrem offensiven Toolkit, um sensible Daten von den Zielbenutzern zu erhalten. Cuba […]
CVE-2023-3519 Erkennung: RCE Zero-Day in Citrix NetScaler ADC und NetScaler Gateway in freier Wildbahn ausgenutzt
Achtung! Cybersicherheitsexperten benachrichtigen Verteidiger ĂĽber eine Zero-Day-Schwachstelle, die den Citrix NetScaler Application Delivery Controller (ADC) und NetScaler Gateway Appliances gefährdet. Die als CVE-2023-3519 verfolgte Schwachstelle kann zu RCE fĂĽhren und wird aktiv von Angreifern in der freien Wildbahn ausgenutzt, nachdem der PoC-Exploit auf GitHub veröffentlicht wurde. Erkennen Sie Versuche zur Ausnutzung von CVE-2023-3519 Das zunehmende […]
Gegner verwenden bewaffnete PDFs als getarnte Köder von der deutschen Botschaft, um Duke-Malware-Variante in Angriffen gegen Außenministerien von NATO-verbundenen Ländern zu verbreiten
Cybersicherheitsforscher haben eine neue bösartige Kampagne beobachtet, die sich gegen Ministerien fĂĽr auswärtige Angelegenheiten von NATO-verbundenen Ländern richtet. Gegner verteilen PDF-Dokumente, die als Köder dienen und den Absender als deutsche Botschaft ausgeben. Eine der PDF-Dateien enthält die dem berĂĽchtigten, von Russland unterstĂĽtzten, national gesponserten Hacking-Kollektiv APT29 alias NOBELIUM, Cozy Bear oder The Dukes zugeordnete Duke-Malware. […]
Anleitung zur Integration von Okta & Splunk
In der heutigen Welt der sich schnell entwickelnden Technologien stehen Organisationen vor zwei groĂźen Herausforderungen: „Wie geht man damit um?“ und „Wie schĂĽtzt man eine riesige Menge an Daten?“ Hier kommt Splunk ins Spiel. Dieses SIEM hilft Unternehmen dabei, Protokolldateien zu sammeln, zu analysieren und zu ĂĽberwachen. Es ist mittlerweile unverzichtbar geworden, da es Unternehmen […]