Letzte Woche haben Forscher berichtet über das neueste berüchtigte Lazarus APT-Tool, das seit dem Frühjahr 2018 in den Angriffen der Gruppe verwendet wird. Ihr neues ‚Spielzeug‘ wurde MATA genannt, es handelt sich um ein modulares plattformübergreifendes Framework mit mehreren Komponenten, darunter ein Loader, Orchestrator und mehrere Plugins, die dazu verwendet werden können, Windows-, Linux- und […]
Bedrohungsjagd-Regeln: Golden Chickens MaaS
Wie Sie wissen, ist Malware-as-a-Service (MaaS) ein Geschäftsmodell, das bereits alltäglich geworden ist und in Untergrundforen und auf dem Schwarzmarkt eine Vielzahl von Dienstleistungen anbietet. Die ersten Angriffe unter Verwendung des Golden Chickens MaaS begannen bereits 2017, und die Cobalt-Gruppe gehörte zu ihren ersten „Kunden“. Der Erfolg dieses Projekts hängt stark von spezifischen Tools und […]
Erkennungsinhalt: RDAT-Hintertür
Letzte Woche haben Forscher Veröffentlichungen vorgenommen Details zu den Angriffen veröffentlicht, die auf die Telekommunikation im Nahen Osten abzielten, durchgeführt von APT34 (auch bekannt als OilRig und Helix Kitten) und aktualisierte Werkzeuge im Arsenal dieser Gruppe. Natürlich ließen es sich die Teilnehmer des Threat Bounty Program nicht nehmen, ein paar Regeln zur Erkennung des RDAT-Backdoors […]
Threat Hunting-Inhalte: Emotet kehrt erneut zurück
Denn nie war eine Geschichte voller Leid als die von Emotet, der einmal mehr zurückkehrt. Diesmal gab es etwa sieben Monate lang keine großangelegten Kampagnen, obwohl vereinzelte Infektionsfälle aufgezeichnet wurden und Forscher Dokumente fanden, die diese Malware verteilten. Die Angriffe wurden letzten Freitag wieder aufgenommen, wobei das Botnetz innerhalb weniger Stunden etwa 250.000 E-Mails versandte, […]
CVE-2020-3452: Unauthentifizierter Dateizugriff in Cisco ASA & Cisco Firepower Erkennung
Erneut weichen wir vom üblichen Veröffentlichungszyklus ab, da ein Exploit für die kritische Schwachstelle CVE-2020-3452 in Cisco ASA & Cisco Firepower aufgetaucht ist, ebenso wie Regeln zur Erkennung der Ausnutzung dieser Schwachstelle. CVE-2020-3452 – noch ein Kopfschmerz im Juli CVE-2020-3452 wurde Ende letzten Jahres entdeckt, aber erst letzte Woche wurde sie veröffentlicht, als Cisco ein […]
Erkennungsinhalt: Formbook über gefälschte PDF-Datei (Sysmon-Verhalten)
Der Covid19-Ausbruch hat eine Reihe von Schwachstellen in der Cybersicherheit offenbart. Wir tun unser Bestes, um Sie über die neuesten Trends in unseren Weekly Talks, Webinaren und relevanten Content-Digests auf dem Laufenden zu halten. Doch menschliche Neugierde in der Informationsflut kann eine Schwachstelle sein. FormBook, der seit 2016 bekannte Infostealer, wird aktiv über eine E-Mail-Kampagne […]
Inhalt zur Bedrohungssuche: Absturz von DNS.exe (Mögliche Erkennung von CVE-2020-1350)
Der Juli erwies sich als fruchtbar für veröffentlichte kritische Schwachstellen: CVE-2020-5903 (F5 BIG-IP), CVE-2020-8193 (Citrix ADC / Netscaler), CVE-2020-2034 (Palo Alto PAN-OS), CVE-2020-6287 (SAP Netweaver), CVE-2020-3330 (Cisco VPN / Firewalls), und CVE-2020-1350 (auch bekannt als SIGRed, die Schwachstelle in Microsoft Windows DNS Server). Letzte Woche veröffentlichten Mitwirkende des Threat Bounty Program und das SOC Prime-Team […]
Erkennung von Inhalten: Hancitor Trojaner
Der heutige Beitrag handelt von neuen Versionen des Hancitor-Trojaners und ein paar Regeln, die von Threat Bounty Program Teilnehmern veröffentlicht wurden, die es Sicherheitslösungen ermöglichen, sie zu erkennen. Hancitor Trojaner (Umgehungstechnik) Gemeinschaftsregel von Emir Erdogan: https://tdm.socprime.com/tdm/info/GwJ4Y7k7tzaz/1rBKXHMBSh4W_EKGF2on/?p=1 Hancitor-Infektion mit Ursnif exklusive Regel von Osman Demir: https://tdm.socprime.com/tdm/info/DXrFgt0kTBg1/Z9TBUXMBPeJ4_8xc-IFm/ Diese Malware trat 2013 auf und wurde Ende letzten Jahres […]
Regelübersicht: CobaltStrike, APT10 und APT41
Wir freuen uns, Ihnen das regelmäßige Regel-Digestpräsentieren zu können, das ausschließlich aus Regeln besteht, die vom SOC Prime Team entwickelt wurden. Dies ist eine Art thematische Auswahl, da alle diese Regeln helfen, bösartige Aktivitäten von APT-Gruppen aufzudecken, die mit der chinesischen Regierung in Verbindung stehen und das CobaltStrike-Tool in Cyber-Spionagekampagnen häufig verwenden. Doch bevor wir […]
Erkennung von Inhalten: GoldenHelper-Verhalten
Diese Woche werden wir im Abschnitt „Regel der Woche“ keine Regel hervorheben, da die heißesten Regeln bereits im gestrigen Spezialdigest veröffentlicht wurden, der den Regeln gewidmet ist, die die Ausnutzung einer kritischen Schwachstelle in Windows DNS Servern, CVE-2020-1350 (auch bekannt als SIGRed), erkennen. Die heutige Veröffentlichung ist der Erkennung von GoldenHelper-Malware gewidmet, die in offizielle […]