In unserem heutigen Beitrag möchten wir unsere Leser an den LokiBot-Infostealer erinnern, der Hintertüren in das Windows-Betriebssystem des Opfers schafft und Betrügern ermöglicht, sensible Daten zu stehlen und sogar verschiedene Payloads einzubringen. Der LokiBot-Infostealer gelangt durch malspam-Kampagnen zu den Opfern, die oft als vertrauenswürdige Absender getarnt sind und ein angehängtes Dokument enthalten, das den Empfänger […]
Bedrohungsjagdrichtlinien: Water Nue Phishing-Kampagne
In den heutigen Nachrichten möchten wir Sie über die laufende Kampagne von Water Nue warnen, die auf Geschäftskonten von Office 365 in den USA und Kanada abzielt. Bemerkenswerterweise erreichten die Betrüger weltweit eine Reihe von hochrangigen Managern in Unternehmen und erbeuteten über 800 Anmeldedatensätze. Obwohl ihr Phishing-Toolset begrenzt ist, verwenden sie keine Trojaner oder Hintertüren […]
Erkennungsinhalt: FTCode Ransomware
Heute möchten wir Ihre Aufmerksamkeit auf eine weitere Ransomware lenken, die auf Italienisch sprechende Nutzer abzielt. Erstmals von Forschern im Jahr 2013 entdeckt, ist FTCode eine auf PowerShell basierende Ransomware, die über Spam verteilt wird. Bei den jüngsten Angriffen wurde die FTCode-Ransomware über eine E-Mail an die Opfermaschinen zugestellt, die einen Anhang enthält, der vorgibt, […]
Regel der Woche: Missbrauch des Microsoft Teams Updaters
Seit Beginn der Pandemie sind Videokonferenzlösungen zu einem integralen Bestandteil des Arbeitsablaufs in vielen Organisationen geworden. Zuerst übernahm Zoom die Führung, und viele Cyberkriminelle begannen sofort damit, es in Phishing-Kampagnen zu nutzen, indem sie sich den Umstand zunutze machten, dass eine große Anzahl von Mitarbeitern diese Technologie zuvor noch nicht verwendet hatte. Bald entdeckten Sicherheitsforscher […]
Threat Hunting Regeln: Ave Maria RAT
Der heutige Artikel ist gewissermaßen eine Fortsetzung von Detection Content: Arkei Stealer da der Autor der Erkennungsregel für Ave Maria RAT derselbe ist und beide bösartigen Tools kürzlich aktiv über das Spamhaus-Netzwerk verbreitet wurden. Ave Maria ist ein Remote Access Trojaner, der oft von Angreifern verwendet wird, um die infizierten Systeme zu übernehmen und sie […]
Erkennungsinhalt: Arkei Stealer
Arkei Stealer ist eine Variante der Infostealer-Malware und seine Funktionalität ähnelt der Azorult-Malware: Er stiehlt sensible Informationen, Anmeldeinformationen und private Schlüssel zu Kryptowährungs-Wallets. Die Malware wird in Untergrundforen verkauft, und jeder kann sowohl die „legitime“ Version als auch die geknackte Version des Arkei Stealers erwerben und verwenden, was es schwierig macht, Angriffe zuzuordnen. Der lauteste […]
IOC Sigma: Erstellung von gefälschten Ordnern
Heute möchten wir der Community-IOC-Sigma-Regel, die von Ariel Millahuel eingereicht wurde, Beachtung schenken, um das Erstellen von Mock-Verzeichnissen zu erkennen, die zur Umgehung der Benutzerkontensteuerung (UAC) verwendet werden können: https://tdm.socprime.com/tdm/info/KB1bISN0mbzm/Hua9s3MBSh4W_EKGTlO2/?p=1 Ein Mock-Ordner ist eine spezifische Imitation eines Windows-Ordners mit einem Leerzeichen am Ende seines Namens, und der Sicherheitsforscher beschrieb den Weg, solche Verzeichnisse zu missbrauchen. […]
Erkennungsinhalt: Bazar Loader
Dieser Herbst hat eine weitere Herausforderung für die Wächter der Unternehmensinfrastrukturen gebracht. Früher in diesem Jahr, Ende April, haben Entwickler von TrickBot einen neuen heimlichen Backdoor in einer Phishing-Kampagne eingesetzt, die auf professionelle Dienstleistungen, Gesundheitswesen, Fertigung, IT, Logistik und Reiseunternehmen in den Vereinigten Staaten und Europa abzielte. Viele fortgeschrittene Bedrohungsakteure, einschließlich der berüchtigten Lazarus APT, […]
Regel der Woche: VHD Ransomware-Erkennung
Wir glauben, dass wir heute verdientermaßen den Titel Regel der Woche an die exklusive Sigma-Regel vergeben, die von Osman Demir entwickelt wurde, um VHD-Ransomware zu erkennen: https://tdm.socprime.com/tdm/info/jxteY8ELY6Yd/BwSPn3MBPeJ4_8xcn22h/?p=1 Die ersten Angriffe mit diesem Ransomware-Strang begannen im März 2020, und erst kürzlich haben Forscher sie mit der Lazarus APT in Verbindung gebracht. Dies wurde erleichtert durch die […]
Bedrohungsjagdregeln: Redaman RAT
Heute, in der Kategorie Bedrohungsjagd-Regeln, freuen wir uns, Ihnen eine neue Regel vorzustellen, die von Ariel Millahuel entwickelt wurde, die Redaman RAT erkennt: https://tdm.socprime.com/tdm/info/gAF3sheoIG9y/qtkZmnMBQAH5UgbBy6do/?p=1 Redaman ist eine Form von Banking-Trojanern, die durch Phishing-Kampagnen verbreitet werden. Es wurde erstmals 2015 gesehen und als RTM-Banking-Trojaner gemeldet, neue Versionen von Redaman erschienen 2017 und 2018. Im September 2019 […]