Die Lazarus APT-Gruppe ist eine der wenigen staatlich geförderten Cyber-Spionageeinheiten, die auch finanziell motivierte Cyberkriminalität durchführen und es ist der profitabelste Bedrohungsakteur in der Kryptowährungsszene, dem es gelungen ist, etwa 2 Milliarden Dollar zu stehlen. Allein im Jahr 2017 stahl die Gruppe mehr als eine halbe Milliarde Dollar in Kryptowährung, sodass ihr Interesse an Händlern […]
Transparent Tribe APT
Transparent Tribe (auch bekannt als PROJECTM und MYTHIC LEOPARD) ist eine Cyber-Spy-Einheit, die mit der pakistanischen Regierung in Verbindung steht und seit mindestens 2013 aktiv ist. Die Gruppe war in den letzten vier Jahren sehr aktiv, wobei sie hauptsächlich indische Militär- und Regierungsmitarbeiter ins Visier nahm. Doch im letzten Jahr griffen sie vermehrt Ziele in […]
BLINDINGCAN RAT
Ende letzter Woche, Ariel Millahuel veröffentlichte eine Community-Thread-Hunting-Regel zur Erkennung des BLINDINGCAN Remote Access Trojaners, der von nordkoreanischen staatlich unterstützten Hackern verwendet wird: https://tdm.socprime.com/tdm/info/pi0B7x1SzQlU/FiBkEHQBSh4W_EKGcibk/?p=1 Die Regel basiert auf einem Malware-Analysebericht , der kürzlich von CISA-Experten veröffentlicht wurde. Die Bedrohungsakteure verwendeten BLINDINGCAN RAT in einer Cyber-Spionage-Kampagne, die hauptsächlich auf den US-Verteidigungs- und Luftfahrtsektor abzielte. Sie versendeten […]
Bedrohungsjagd-Regeln: PurpleWave Infostealer
Ein weiterer Infostealer mit Backdoor-Funktionen wurde Ende Juli entdeckt. Malware-Autoren werben in russischen Cybercrime-Foren dafür und verkaufen verschiedene Modifikationen der Utility zu einem erschwinglichen Preis. Der neue Infostealer ist in C++ geschrieben und wurde von seinen Autoren PurpleWave genannt. Die Malware kann eine Reihe von bösartigen Aktionen ausführen, die ein Hacker auf dem angegriffenen System […]
Erkennungsinhalt: Drovorub-Malware
Letzte Woche veröffentlichten das FBI und die NSA eine gemeinsame Sicherheitswarnung mit Details über die Drovorub-Malware, einem neuen Werkzeug in den Händen der APT28. Dies ist eine Linux-Malware, die verwendet wird, um Hintertüren in kompromittierten Netzwerken zu installieren. Die Malware ist ein mehrkomponentiges System, das aus einem Kernel-Modul-Rootkit, einem Implantat, einem C&C-Server, einem Port-Forwarding-Modul und […]
Bedrohungsjagdregeln: Mögliche C2-Verbindung über DoH
Es ist ein Jahr her, seit der erste Malware zögerlich DNS-over-HTTPS (DoH) ausnutzte, um die IPs für die Command-and-Control-Infrastruktur abzurufen. Sicherheitsforscher hatten bereits gewarnt, dass dies ein ernstes Problem sein könnte und begannen nach einer Lösung zu suchen, die helfen würde, solch bösartigen Datenverkehr zu erkennen. Immer mehr verwendet DoH-Verkehr, weil dieses Protokoll von Chrome […]
Erkennungsinhalt: Mekotio Banking-Trojaner
Mekotio ist ein weiterer lateinamerikanischer Banking-Trojaner der hauptsächlich auf Benutzer in Brasilien, Mexiko, Spanien, Chile, Peru und Portugal abzielt. Dies ist eine persistente Malware, die über Phishing-E-Mails verbreitet wird und Persistenz entweder durch Erstellen einer LNK-Datei im Startordner oder durch die Verwendung eines Run-Schlüssels sicherstellt. Es ist in der Lage, Kryptowährungen von einem gezielten Benutzer […]
Bedrohungsjagd-Regeln: Gamaredon Group Verhalten
Die Gamaredon-Gruppe tauchte 2013 auf und verwendete zunächst keine maßgeschneiderte Malware, entwickelte jedoch im Laufe der Zeit eine Reihe von Cyber-Spionage-Tools, darunter Pterodo und EvilGnome Malware. In den letzten Monaten hat die Gruppe aktiv Phishing-E-Mails gesendet mit Dokumenten, die bösartige Makros enthalten, die eine Vielzahl verschiedener Malware-Varianten herunterladen. Die Gamaredon-Gruppe verwendet sehr einfache Tools, die […]
Erkennung der Ausnutzung von CVE-2020-17506 und CVE-2020-17505 (Artica Proxy)
Mit dem heutigen Beitrag möchten wir Sie über mehrere kürzlich entdeckte Schwachstellen in Artica Proxy informieren, einem System, das es Benutzern mit grundlegenden technischen Fähigkeiten ermöglicht, einen Proxy-Server im transparenten Modus zu verwalten, sowie eine Verbindung zu AD und OpenLDAP, Version 4.30, herzustellen. Die frisch gemeldete CVE-2020-17506 Schwachstelle von Artica Proxy ermöglicht es Hackern, die […]
Erkennung Inhalt: CVE-2019-16759 Ausnutzung mit neuer Methode
Heute möchten wir auf die CVE-2019-16759-Schwachstelle in vBulletin hinweisen, der am häufigsten verwendeten Forensoftware, beobachtet für Version 5 und höher. Die Schwachstelle bietet Hackern die Möglichkeit, über den Parameter widgetConfig[code] in einer HTTP-POST-Anfrage Remote-Befehle auszuführen und je nach Benutzerberechtigungen in vBulletin die Kontrolle über den Host zu erhalten. Die CVE-2019-16759 wurde im September 2019 als […]