Diese Woche, Lee Archinal, der Contributor des Threat Bounty Programms, hat eine Community Sigma-Regel zum Erkennen eines weiteren Infostealers gepostet. Die Regel „Immortal Stealer (Sysmon Behavior)“ ist nach der Registrierung im Threat Detection Marketplace zum Download verfĂĽgbar: https://tdm.socprime.com/tdm/info/V0Q03WX81XBY/dEM_SXQBSh4W_EKGVbX_/?p=1 Der Immortal Infostealer tauchte vor etwas mehr als einem Jahr in den Foren des Dark Web mit […]
JSOutProx RAT
Letztes Jahr wurde Indien als das am meisten cyber-attackierte Land benannt. Kritische Infrastrukturen in den Ă–l- und Gasindustrien sowie in den Verteidigungs-, Bank- und Fertigungssektoren werden als die häufigsten Ziele genannt. Im April 2020 wurden die Regierungsstellen und eine Reihe von Banken in Indien durch E-Mail-Kampagnen angegriffen, die ein bösartiges JavaScript und eine Java-basierte HintertĂĽr […]
RCE in Pulse Connect Secure (CVE-2020-8218)
Heute möchten wir Sie vor einer kĂĽrzlich entdeckten Schwachstelle warnen, die Remote-Code-AusfĂĽhrung in der Pulse Connect Secure-Anwendung Version<9.1R8 ermöglicht. Wie in der Forschung erwähnt, ermöglicht die CVE-2020-8218 einem BetrĂĽger, beliebigen Code aus der Ferne auf der vorletzten verfĂĽgbaren Version des Pulse Connector VPNs auszufĂĽhren. CVE-2020-8218 Schwachstelle in Pulse Connect Secure Die CVE-2020-8218 ist eine von […]
Neue QakBot-Techniken
Der QBot-Banking-Trojaner, der auch als Qakbot oder Pinkslipbot bekannt ist, ist seit 2008 den Cybersicherheitsforschern bekannt und täuscht weiterhin die Geschäftsleute mit neuen Kampagnen, die seine elaborierten Stealth-Fähigkeiten demonstrieren. Eine weitere Phishing-Kampagne, die das bösartige Dokument verbreitet, hat die Aufmerksamkeit der Forscher auf sich gezogen. Der neueste QakBot-Angriff ist bemerkenswert, da er eine ZIP-Datei mit […]
Aktuelle Angriffe der Lazarus APT
Die Lazarus APT-Gruppe ist eine der wenigen staatlich geförderten Cyber-Spionageeinheiten, die auch finanziell motivierte Cyberkriminalität durchfĂĽhren und es ist der profitabelste Bedrohungsakteur in der Kryptowährungsszene, dem es gelungen ist, etwa 2 Milliarden Dollar zu stehlen. Allein im Jahr 2017 stahl die Gruppe mehr als eine halbe Milliarde Dollar in Kryptowährung, sodass ihr Interesse an Händlern […]
Transparent Tribe APT
Transparent Tribe (auch bekannt als PROJECTM und MYTHIC LEOPARD) ist eine Cyber-Spy-Einheit, die mit der pakistanischen Regierung in Verbindung steht und seit mindestens 2013 aktiv ist. Die Gruppe war in den letzten vier Jahren sehr aktiv, wobei sie hauptsächlich indische Militär- und Regierungsmitarbeiter ins Visier nahm. Doch im letzten Jahr griffen sie vermehrt Ziele in […]
BLINDINGCAN RAT
Ende letzter Woche, Ariel Millahuel veröffentlichte eine Community-Thread-Hunting-Regel zur Erkennung des BLINDINGCAN Remote Access Trojaners, der von nordkoreanischen staatlich unterstĂĽtzten Hackern verwendet wird: https://tdm.socprime.com/tdm/info/pi0B7x1SzQlU/FiBkEHQBSh4W_EKGcibk/?p=1 Die Regel basiert auf einem Malware-Analysebericht , der kĂĽrzlich von CISA-Experten veröffentlicht wurde. Die Bedrohungsakteure verwendeten BLINDINGCAN RAT in einer Cyber-Spionage-Kampagne, die hauptsächlich auf den US-Verteidigungs- und Luftfahrtsektor abzielte. Sie versendeten […]
Bedrohungsjagd-Regeln: PurpleWave Infostealer
Ein weiterer Infostealer mit Backdoor-Funktionen wurde Ende Juli entdeckt. Malware-Autoren werben in russischen Cybercrime-Foren dafĂĽr und verkaufen verschiedene Modifikationen der Utility zu einem erschwinglichen Preis. Der neue Infostealer ist in C++ geschrieben und wurde von seinen Autoren PurpleWave genannt. Die Malware kann eine Reihe von bösartigen Aktionen ausfĂĽhren, die ein Hacker auf dem angegriffenen System […]
Erkennungsinhalt: Drovorub-Malware
Letzte Woche veröffentlichten das FBI und die NSA eine gemeinsame Sicherheitswarnung mit Details ĂĽber die Drovorub-Malware, einem neuen Werkzeug in den Händen der APT28. Dies ist eine Linux-Malware, die verwendet wird, um HintertĂĽren in kompromittierten Netzwerken zu installieren. Die Malware ist ein mehrkomponentiges System, das aus einem Kernel-Modul-Rootkit, einem Implantat, einem C&C-Server, einem Port-Forwarding-Modul und […]
Bedrohungsjagdregeln: Mögliche C2-Verbindung über DoH
Es ist ein Jahr her, seit der erste Malware zögerlich DNS-over-HTTPS (DoH) ausnutzte, um die IPs fĂĽr die Command-and-Control-Infrastruktur abzurufen. Sicherheitsforscher hatten bereits gewarnt, dass dies ein ernstes Problem sein könnte und begannen nach einer Lösung zu suchen, die helfen wĂĽrde, solch bösartigen Datenverkehr zu erkennen. Immer mehr verwendet DoH-Verkehr, weil dieses Protokoll von Chrome […]