Cyber-Verteidiger haben einen aktuellen Anstieg von Cyberangriffen zur Verbreitung der Mallox-Ransomware beobachtet. Seit zwei Jahren missbrauchen Ransomware-Operatoren MS-SQL-Server als ersten Zugangspunkt, um die Infektion weiter zu verbreiten. Mallox-Ransomware erkennen Mit der steigenden Aktivität der Mallox-Ransomware-Gruppe und ihrem Bestreben, den Einfluss und Umfang ihrer Angriffe zu erweitern, benötigen Cyber-Verteidiger höchste Reaktionsfähigkeit, um den damit verbundenen Bedrohungen […]
Erkennung von CAPIBAR- und KAZUAR-Malware: Turla alias UAC-0024 oder UAC-0003 startet gezielte Cyber-Spionagekampagnen gegen die Ukraine
Seit mindestens 2022 fĂĽhrt das als UAC-0024 verfolgte Hackerkollektiv eine Reihe offensiver Operationen gegen die ukrainischen Verteidigungskräfte durch. Die Cyber-Spionageaktivität der Gruppe konzentriert sich hauptsächlich auf das Sammeln von Informationen unter Nutzung der Malware CAPIBAR. Basierend auf den TTPs der Angreifer und dem aufgedeckten Einsatz einer anderen Malware namens Kazuar kann die feindliche Aktivität mit […]
Was sind LOLBins?
LOLBins, auch bekannt als „Living off the Land Binaries“, sind Binärdateien, die legitime Befehle und vorinstallierte ausfĂĽhrbare Dateien des Betriebssystems nutzen, um bösartige Aktivitäten durchzufĂĽhren. LOLBins verwenden lokale Systembinärdateien, um Erkennungen zu umgehen, Malware zu liefern und unentdeckt zu bleiben. Bei der Nutzung von LOLBins können Gegner ihre Chancen verbessern, unbemerkt zu bleiben, indem sie […]
Erkennung von UAC-0010 alias Armageddon APT Angriffen: Ăśberblick ĂĽber die andauernden offensiven Operationen der Gruppe gegen die Ukraine
Seit der umfassenden Invasion Russlands in die Ukraine haben die offensiven Streitkräfte des Aggressors Tausende gezielte Cyberangriffe gegen die Ukraine gestartet. Eine der beharrlichsten Bedrohungen gehört zur berĂĽchtigten Cyber-Spionage-Gruppe, die als UAC-0010 (Armageddon)verfolgt wird. Dieser Artikel bietet einen Ăśberblick ĂĽber die gegnerischen Aktivitäten der Gruppe gegen die Ukraine, die hauptsächlich den Phishing-Angriffsvektor ausnutzen, Stand Juli […]
Was ist Detection Engineering?
Bedrohungserkennungstechnik (DE) ist komplexer, als es auf den ersten Blick scheint. Sie geht weit ĂĽber die Erkennung von Ereignissen oder abnormalen Aktivitäten hinaus. Der DE-Prozess umfasst die Erkennung von Zuständen und Bedingungen, die oft fĂĽr Vorfallreaktionen oder digitale Forensik anwendbarer sind. Wie Florian Roth in seinem Blogerwähnt, sollte die Definition der Erkennungstechnik „als work in […]
SmokeLoader-Erkennung: Die Gruppe UAC-0006 startet eine neue Phishing-Kampagne gegen die Ukraine
Achtung! Cyber-Verteidiger werden ĂĽber eine neue Welle von Phishing-Angriffen informiert, die E-Mail-Betreffzeilen im Zusammenhang mit Rechnungen ausnutzen, wobei die Infektionskette durch das Ă–ffnen einer bösartigen VBS-Datei ausgelöst wird, was zur Verbreitung von SmokeLoader-Malware auf den betroffenen Geräten fĂĽhrt. Laut der Untersuchung kann die bösartige Aktivität der finanziell motivierten UAC-0006-Hacking-Gruppe zugeschrieben werden, die in frĂĽheren Angriffen […]
Storm-0978 Angriffe Erkennung: Russlandbezogene Hacker nutzen CVE-2023-36884 aus, um eine Hintertür zu verbreiten und Verteidigungs- und öffentliche Sektororganisationen anzugreifen
Cybersecurity-Forscher haben eine neue offensive Operation aufgedeckt, die von der russland-unterstĂĽtzten Gruppe Storm-0978 alias DEV-0978 gestartet wurde, die auch als RomCom verfolgt wird, basierend auf dem Namen des verruchten Backdoors, mit dem sie in Verbindung gebracht werden.. In dieser Kampagne zielen Hacker auf Verteidigungsorganisationen und öffentliche Behörden in Europa und Nordamerika ab, indem sie den […]
BlackCat alias ALPHV Angriffserkennung: Hacker missbrauchen Malvertising zur Verbreitung von Malware und nutzen SpyBoy Terminator, um Sicherheitsvorkehrungen zu behindern
Cybersicherheitsforscher haben Spuren neuer bösartiger Aktivitäten entdeckt, die der berĂĽchtigten BlackCat alias ALPHV Ransomware-Gruppe zugeschrieben werden. Der gegnerische Angriff beinhaltet die Verbreitung von Malware ĂĽber geklonte Webseiten legitimer Unternehmen, einschlieĂźlich der Webseite eines beliebten WinSCP-DateiĂĽbertragungsdienstes. Es wurde beobachtet, dass BlackCat auch den SpyBoy Terminator fĂĽr offensive Zwecke einsetzt, um Anti-Malware-Schutz zu behindern. Erkennung von BlackCats […]
PicassoLoader und njRAT-Erkennung: UAC-0057-Hacker führen einen gezielten Angriff gegen ukrainische öffentliche Einrichtungen aus
Cybersicherheitsforscher geben eine Warnung heraus, die einen neuen zielgerichteten Cyberangriff der Gruppe UAC-0057 gegen ukrainische Beamte behandelt, bei dem XLS-Dateien verwendet werden, die ein bösartiges Makro enthalten, das verbreitet PicassoLoader Malware. Der bösartige Loader ist in der Lage, einen weiteren bösartigen Strang namens njRAT abzulegen, um die Infektion weiter zu verbreiten. Verteilung von PicassoLoader und […]
Erkennung von MAGICSPELL-Malware: UAC-0168 Hacker starten gezielten Angriff mit dem Thema des NATO-Beitritts der Ukraine als Phishing-Köder
CERT-UA-Forscher haben kĂĽrzlich eine betrĂĽgerische Kopie der englischsprachigen Version der Website des Ukrainischen Weltkongresses entdeckt unter https://www.ukrainianworldcongress.org/. Die gefälschte Webressource enthält ein paar DOCX-Dokumente, die eine Infektionskette auslösen, sobald sie geöffnet werden. Als Ergebnis der Angriffskette können Hacker die MAGICSPELL-Nutzlast einsetzen, die dazu bestimmt ist, einen weiteren Loader herunterzuladen, zu entschlĂĽsseln und die Persistenz sowie […]