Quasar Remote Administration Tool (RAT) ist ein multifunktionales und leichtgewichtiges Schadprogramm, das seit 2014 aktiv von APT-Akteuren verwendet wird. Der Quasar-Code ist öffentlich als Open-Source-Projekt verfügbar, wodurch der Trojaner aufgrund seiner breiten Anpassungsmöglichkeiten bei Gegnern äußerst beliebt ist. Infolgedessen gibt es eine Vielzahl von Exemplaren innerhalb der Quasar-Malware-Familie. Viele von ihnen wurden von staatlich unterstützten […]
Erkennung für Sysmon mit dem Threat Detection Marketplace
Bei SOC Prime haben wir uns der Mission verschrieben, den maximalen Wert aus jedem Sicherheitstool zu ziehen und den effektiven Schutz vor aufkommenden Bedrohungen zu ermöglichen. Im August 2020 hat das SIGMA-Projekt das Sysmon-Backend von SOC Prime übernommen. Das Backend generiert Sysmon-Regeln, die einer Sysmon-Konfiguration hinzugefügt werden können, was für jeden revolutionär ist, der „include“ […]
Heap-Pufferüberlauf in Sudo (CVE-2021-3156) ermöglicht Privilegieneskalation auf Linux-Betriebssystemen
Ein kürzlich offengelegtes Sicherheitsproblem in Sudo ermöglicht es nicht authentifizierten Hackern, ihre Rechte auf einem beliebigen Linux-Gerät zu Root-Rechten zu eskalieren. Die Schwachstelle wurde 2011 importiert und blieb fast ein Jahrzehnt lang unentdeckt. Beschreibung der Linux-Sudo-Schwachstelle Sudo ist ein Standarddienst für Systemadministratoren, der in den meisten Unix- und Linux-Umgebungen allgegenwärtig eingesetzt wird. Dieses Dienstprogramm gewährleistet […]
Nordkoreanische Hacker verlassen sich auf soziale Medien, um Sicherheitsforscher ins Visier zu nehmen
Bedrohungsanalysten von Google warnen vor einer aktuellen bösartigen Kampagne, die sich an Schwachstellenforscher und Red Team-Mitglieder richtet. Berichten zufolge steht ein von Nordkorea unterstützter Akteur hinter dieser Operation und nutzt neuartige Methoden des Social Engineering, um individuelle Sicherheitspraktiker über gefälschte Social-Media-Profile anzusprechen. Angriff auf Sicherheitsforscher Der Kampagnenüberblick der Google Threat Analysis Group (TAG) schätzt dass […]
Dark Halo APT steht hinter SolarWinds Hack, Malwarebytes Angriff
Eine neue, hochentwickelte APT-Gruppe, genannt Dark Halo (UNC2452, SolarStrom), ist kürzlich in der Cybersicherheits-Szene aufgetaucht und hat in den letzten Monaten in der Presse für Schlagzeilen gesorgt. Forscher glauben, dass dieser fortgeschrittene Akteur hinter dem historischen SolarWinds-Hack sowie dem Angriff auf den Sicherheitsanbieter Malwarebytes stehen könnte. Wer ist Dark Halo? Sicherheitsexperten von Volexity schätzen dass […]
Oski Info Stealer leert Krypto-Wallets und extrahiert Browserdaten
Datenklau-Malware erfreut sich weiterhin großer Beliebtheit bei finanziell motivierten Hackern. Das gestiegene Interesse fördert die Entwicklung neuer, ausgeklügelter Varianten, die auf dem Untergrundmarkt angeboten werden. Offensichtlich ziehen die günstigsten und gleichzeitig funktionalen Angebote zuerst die Aufmerksamkeit auf sich. An dieser Stelle rückt der Oski-Stealer als hochgefährliche und relativ preiswerte Malware ins Rampenlicht. Oski Stealer Funktionalität […]
Partner versus Jäger: Kampf gegen die DarkSide
Einleitung On August 2020 eine neue Art von Malware, die zur Kategorie der Ransomware gehört, tauchte in der Cyber-Bedrohungslandschaft auf. Der für die Entwicklung verantwortliche Bedrohungsakteur nannte sie „DarkSide“ und wird, wie andere Malware dieser Art, in Big Game Hunting (BGH) Kampagnen betrieben. Etwa zur gleichen Zeit wurde eine DLS (Dedicated Leak Site) im Darkweb […]
Neue Raindrop-Malware im Zusammenhang mit SolarWinds-Verstoß
Die eingehende Untersuchung des SolarWinds-Einbruchs enthüllte das vierte Stück bösartiger Software, das mit diesem historischen Vorfall verbunden ist. Laut den Infosec-Experten ist die neue Bedrohung, genannt Raindrop, ein Cobalt Strike-Downloader. Es wurde in der Phase nach dem Kompromiss des Angriffs eingesetzt, um die laterale Bewegung über eine ausgewählte Anzahl von Zielnetzwerken zu verbessern. Raindrop erhöht […]
Finger-Befehl in Windows zum Ausliefern der MineBridge Backdoor missbraucht
Bedrohungsakteure suchen ständig nach neuen Wegen, um Windows-Sicherheitsbeschränkungen zu umgehen und Malware in das Zielnetzwerk einzuschleusen. Native Windows-Programme, bekannt als LoLbins, werden häufig für diesen Zweck missbraucht. Kürzlich wurde die Windows Finger-Funktion in diese Liste aufgenommen, da Hacker sie für die Lieferung des MineBridge-Hintertürprogramms missbraucht hatten. Windows Finger Missbraucht for Malware Die Finger-Funktion ist ein […]
TA551-Hacker verbreiten IcedID-Trojaner in einer neuen Welle von Malspam-Kampagnen
Ab Juli 2020 beobachten Sicherheitsexperten bemerkenswerte Änderungen, die in der TA551 (auch bekannt als Shathak) Malspam-Routine implementiert wurden. Die Bedrohungsakteure hinter der TA551-Kampagne haben von der Verteilung von Ursnif und Valak auf IcedID Banking-Trojaner-Infektionen umgeschaltet. TA551 Überblick TA551 ist eine lang anhaltende Malspam-Kampagne, die im Februar 2019 auftauchte. Anfangs konzentrierte sie sich darauf, den Ursnif […]