In unserem heutigen Beitrag möchten wir unsere Leser an den LokiBot-Infostealer erinnern, der HintertĂĽren in das Windows-Betriebssystem des Opfers schafft und BetrĂĽgern ermöglicht, sensible Daten zu stehlen und sogar verschiedene Payloads einzubringen. Der LokiBot-Infostealer gelangt durch malspam-Kampagnen zu den Opfern, die oft als vertrauenswĂĽrdige Absender getarnt sind und ein angehängtes Dokument enthalten, das den Empfänger […]
Bedrohungsjagdrichtlinien: Water Nue Phishing-Kampagne
In den heutigen Nachrichten möchten wir Sie ĂĽber die laufende Kampagne von Water Nue warnen, die auf Geschäftskonten von Office 365 in den USA und Kanada abzielt. Bemerkenswerterweise erreichten die BetrĂĽger weltweit eine Reihe von hochrangigen Managern in Unternehmen und erbeuteten ĂĽber 800 Anmeldedatensätze. Obwohl ihr Phishing-Toolset begrenzt ist, verwenden sie keine Trojaner oder HintertĂĽren […]
Erkennungsinhalt: FTCode Ransomware
Heute möchten wir Ihre Aufmerksamkeit auf eine weitere Ransomware lenken, die auf Italienisch sprechende Nutzer abzielt. Erstmals von Forschern im Jahr 2013 entdeckt, ist FTCode eine auf PowerShell basierende Ransomware, die ĂĽber Spam verteilt wird. Bei den jĂĽngsten Angriffen wurde die FTCode-Ransomware ĂĽber eine E-Mail an die Opfermaschinen zugestellt, die einen Anhang enthält, der vorgibt, […]
Regel der Woche: Missbrauch des Microsoft Teams Updaters
Seit Beginn der Pandemie sind Videokonferenzlösungen zu einem integralen Bestandteil des Arbeitsablaufs in vielen Organisationen geworden. Zuerst ĂĽbernahm Zoom die FĂĽhrung, und viele Cyberkriminelle begannen sofort damit, es in Phishing-Kampagnen zu nutzen, indem sie sich den Umstand zunutze machten, dass eine groĂźe Anzahl von Mitarbeitern diese Technologie zuvor noch nicht verwendet hatte. Bald entdeckten Sicherheitsforscher […]
Threat Hunting Regeln: Ave Maria RAT
Der heutige Artikel ist gewissermaĂźen eine Fortsetzung von Detection Content: Arkei Stealer da der Autor der Erkennungsregel fĂĽr Ave Maria RAT derselbe ist und beide bösartigen Tools kĂĽrzlich aktiv ĂĽber das Spamhaus-Netzwerk verbreitet wurden. Ave Maria ist ein Remote Access Trojaner, der oft von Angreifern verwendet wird, um die infizierten Systeme zu ĂĽbernehmen und sie […]
Erkennungsinhalt: Arkei Stealer
Arkei Stealer ist eine Variante der Infostealer-Malware und seine Funktionalität ähnelt der Azorult-Malware: Er stiehlt sensible Informationen, Anmeldeinformationen und private SchlĂĽssel zu Kryptowährungs-Wallets. Die Malware wird in Untergrundforen verkauft, und jeder kann sowohl die „legitime“ Version als auch die geknackte Version des Arkei Stealers erwerben und verwenden, was es schwierig macht, Angriffe zuzuordnen. Der lauteste […]
IOC Sigma: Erstellung von gefälschten Ordnern
Heute möchten wir der Community-IOC-Sigma-Regel, die von Ariel Millahuel eingereicht wurde, Beachtung schenken, um das Erstellen von Mock-Verzeichnissen zu erkennen, die zur Umgehung der Benutzerkontensteuerung (UAC) verwendet werden können: https://tdm.socprime.com/tdm/info/KB1bISN0mbzm/Hua9s3MBSh4W_EKGTlO2/?p=1 Ein Mock-Ordner ist eine spezifische Imitation eines Windows-Ordners mit einem Leerzeichen am Ende seines Namens, und der Sicherheitsforscher beschrieb den Weg, solche Verzeichnisse zu missbrauchen. […]
Erkennungsinhalt: Bazar Loader
Dieser Herbst hat eine weitere Herausforderung fĂĽr die Wächter der Unternehmensinfrastrukturen gebracht. FrĂĽher in diesem Jahr, Ende April, haben Entwickler von TrickBot einen neuen heimlichen Backdoor in einer Phishing-Kampagne eingesetzt, die auf professionelle Dienstleistungen, Gesundheitswesen, Fertigung, IT, Logistik und Reiseunternehmen in den Vereinigten Staaten und Europa abzielte. Viele fortgeschrittene Bedrohungsakteure, einschlieĂźlich der berĂĽchtigten Lazarus APT, […]
Regel der Woche: VHD Ransomware-Erkennung
Wir glauben, dass wir heute verdientermaĂźen den Titel Regel der Woche an die exklusive Sigma-Regel vergeben, die von Osman Demir entwickelt wurde, um VHD-Ransomware zu erkennen: https://tdm.socprime.com/tdm/info/jxteY8ELY6Yd/BwSPn3MBPeJ4_8xcn22h/?p=1 Die ersten Angriffe mit diesem Ransomware-Strang begannen im März 2020, und erst kĂĽrzlich haben Forscher sie mit der Lazarus APT in Verbindung gebracht. Dies wurde erleichtert durch die […]
Bedrohungsjagdregeln: Redaman RAT
Heute, in der Kategorie Bedrohungsjagd-Regeln, freuen wir uns, Ihnen eine neue Regel vorzustellen, die von Ariel Millahuel entwickelt wurde, die Redaman RAT erkennt: https://tdm.socprime.com/tdm/info/gAF3sheoIG9y/qtkZmnMBQAH5UgbBy6do/?p=1 Redaman ist eine Form von Banking-Trojanern, die durch Phishing-Kampagnen verbreitet werden. Es wurde erstmals 2015 gesehen und als RTM-Banking-Trojaner gemeldet, neue Versionen von Redaman erschienen 2017 und 2018. Im September 2019 […]