Living off the Land-Binärdateien (Lolbins) sind legitime Binärdateien, die fortgeschrittene Gegner oft missbrauchen, um Aktionen auszufĂĽhren, die ĂĽber ihren ursprĂĽnglichen Zweck hinausgehen. Cyberkriminelle nutzen sie aktiv, um Malware herunterzuladen, Persistenz sicherzustellen, Daten zu exfiltrieren, sich lateral zu bewegen und mehr. Erst gestern haben wir ĂĽber eine Regel geschrieben, die Angriffe der Evil Corp-Gruppe erkennt, welche […]
Erkennungsinhalt: WastedLocker Ransomware
Die neue WastedLocker-Ransomware wurde erstmals im Mai 2020 entdeckt. Sie wurde von der hochkarätigen Evil Corp-Gruppe entwickelt, die zuvor den Dridex Trojaner einsetzte, um BitPaymer Ransomware in Angriffen auf Regierungsorganisationen und Unternehmen in den Vereinigten Staaten und Europa zu verbreiten. Im vergangenen Jahr verlieĂź ein Teil der Angreifer die Gruppe und startete eigene Angriffe mit […]
Threat Hunting-Inhalte: DropboxAES RAT-Erkennung
Heute möchten wir Ihnen vom DropboxAES-Trojaner erzählen, der von der APT31-Gruppe in Cyber-Spionage-Kampagnen eingesetzt wird, und auch einen Link zur Community Sigma-Regel geben, um diese Malware zu erkennen. Im Allgemeinen hebt sich DropboxAES nicht von anderen Remote-Access-Trojanern ab. Dies ist ein relativ neues Werkzeug im Arsenal der APT31 (auch bekannt als BRONZE VINEWOOD). Die Malware […]
CVE-2020-5903-Schwachstellen in F5s BIG-IP ermöglichen vollständige Systemkompromittierung
Letzte Woche veröffentlichte F5 Networks, einer der weltweit größten Anbieter von Netzwerklösungen fĂĽr die Anwendungsbereitstellung, eine Sicherheitswarnung, um ihre Kunden vor einer gefährlichen Schwachstelle zu warnen, die Cyberkriminelle in naher Zukunft ausnutzen könnten, falls sie nicht bereits aktiv im Umlauf ausgenutzt wird. Die SicherheitslĂĽcke wurde in multifunktionalen Netzwerkgeräten (BIG-IP) entdeckt, die als Load Balancer, SSL-Middleware, […]
RegelĂĽbersicht: Trojaner und Ransomware
Im heutigen Digest möchten wir die Inhalte hervorheben, die von Mitgliedern des Threat Bounty Program bereitgestellt wurden, um Sicherheitstools bei der Erkennung des Saefko RAT, Ursa Trojaners und einer Reihe aktiv verbreiteter Ransomware-Stämme zu unterstĂĽtzen. Der Saefko RAT ist ein relativ frischer Remote-Access-Trojaner, der in .NET geschrieben und Mitte 2019 erstmals gesichtet wurde. Der Saefko […]
Regel der Woche: Thanos Ransomware
Heute in der Sektion Regel der Woche empfehlen wir, die Regel zu beachten, die von Emir Erdoganveröffentlicht wurde. Die neue Regel hilft, Thanos-Ransomware zu erkennen, die die RIPlace-Taktik verwendet, um Anti-Ransomware-Lösungen zu umgehen: https://tdm.socprime.com/tdm/info/QvmZLqPG91bq/LYA4D3MBSh4W_EKGVfTV/?p=1 Thanos-Ransomware erschien erstmals Ende letzten Jahres, und ihre Autoren bewarben sie in Untergrundforen und geschlossenen Kanälen. Sie wird als Ransomware-as-a-Service vertrieben, […]
Erkennungsinhalt: Ransom X Verhalten
Eine weitere Ransomware-Familie erschien in diesem FrĂĽhjahr und wird aktiv in gezielten Angriffen auf Unternehmen und Regierungsbehörden eingesetzt. Mitte Mai griffen Cyberkriminelle das Netzwerk des Texas Department of Transportation an, jedoch wurde der unbefugte Zugriff entdeckt, und infolgedessen wurde nur ein Teil der Systeme verschlĂĽsselt. Bei diesem Angriff wurde eine neue Ransomware – Ransom X […]
Threat Hunting Inhalt: Erkennung von Taurus Stealer
Die Taurus-Information stehlende Malware ist ein relativ neues Tool, das vom Predator The Thief-Team erstellt wurde, das sie in Hacker-Foren bewirbt. Der Infostealer kann sensible Daten von Browsern, Kryptowährungs-Wallets, FTP, E-Mail-Clients und verschiedenen Apps stehlen. Die Malware ist hochgradig ausweichend und umfasst Techniken, um der Erkennung durch Sandboxes zu entgehen. Angreifer haben ein Dashboard entwickelt, […]
Erkennungsinhalt: Verhalten der PsiXBot-Malware
Da Google und Mozilla die weitverbreitete Nutzung des DNS-over-HTTPS-Protokolls fördern, nutzen auch immer mehr Malware-Autoren diese ideale Gelegenheit, um schädlichen Datenverkehr zu verbergen. Die kĂĽrzlich entdeckten Versionen von PsiXBot missbrauchen den DoH-Dienst von Google, um die IPs fĂĽr die Command-and-Control-Infrastruktur abzurufen. Die Malware erschien 2017 als einfacher Infostealer, der in der Lage ist, Cookies und […]
Regel der Woche: Cobalt Strike ĂĽber mehrstufigen APT-Angriff ausgeliefert
Diesen Monat haben Forscher entdeckt einen mehrstufigen Angriff durch eine nicht näher definierte APT-Gruppe. Während dieses Angriffs nutzten die Angreifer die Malleable C2-Funktion in Cobalt Strike, um C&C-Kommunikationen durchzufĂĽhren und die endgĂĽltige Nutzlast zu liefern. Forscher stellen fest, dass Angreifer fortschrittliche Umgehungstechniken verwenden. Sie beobachteten eine absichtliche Verzögerung bei der AusfĂĽhrung der Nutzlast aus dem […]