Und erneut möchten wir den Inhalt zur Erkennung von QBot-Malware im Abschnitt Regel der Woche hervorheben. Vor etwa einem Monat, wurde eine einfache aber effektive Regel von Emir Erdogan bereits in diesem Abschnittveröffentlicht. Aber der zwölf Jahre alte Trojaner entwickelt sich weiter, und vor nur ein paar Tagen wurden frische Samples dieser Malware entdeckt, basierend […]
Bedrohungsjagd-Inhalt: Erkennung von Avaddon Ransomware
Ein Neuling in der Ransomware-Szene, Avaddon Ransomware, wird seit Anfang des Monats aktiv in Spam-Kampagnen verbreitet, und die Angreifer dahinter rekrutieren weiterhin Partner in Untergrundforen. Während einer der erkannten Kampagnen, versandten Cyberkriminelle über 300.000 bösartige E-Mails mit dem Phorphiex/Trik Botnet. Derzeit zielt Avaddon eher auf einzelne Nutzer als auf Organisationen ab, und die Zeit wird […]
Erkennungsinhalte: Grandoreiro Banking Trojaner
Lateinamerikanische Bankentrojaner sind dabei, einen eigenen Trend in der Schadsoftware-Entwicklung zu setzen. Angreifer erstellen regelmäßig neue Trojaner or Exploit-Kits , um Bankbenutzer in Brasilien, Mexiko und Peru anzugreifen, und mit jeder neuen bösartigen Kampagne erweitern sie ihre Ziellisten zunächst auf Nachbarländer und dann auf weltweite Kampagnen. In unserem kürzlich veröffentlichten Regel-Digest haben wir eine Regel […]
Bedrohungserkennung: Phishing-Kampagne mit Zoom-Einladungen
Zoom-Themen-Köder werden weiterhin aktiv von Cyberkriminellen genutzt und stehen an vorderster Stelle der am häufigsten verwendeten Themen in Phishing-Kampagnen. Seit Beginn der Lockdown-Maßnahmen stieg die Popularität von Zoom, ebenso die Anzahl der Angriffe. Und selbst nachdem Forscher ernsthafte Sicherheitsprobleme mit dem Dienst entdeckten, haben viele Organisationen nicht auf seine Nutzung verzichtet. Zu diesem Thema haben […]
Erkennung Inhalt: Finden des Lokibot Trojaners
Lokibot ist eine trojanische Malware, die entwickelt wurde, um eine Vielzahl sensibler Daten zu sammeln. Es wurde erstmals 2015 bemerkt und bleibt bei Cyberkriminellen sehr beliebt, da es im Untergrundforum von jedem Angreifer gekauft werden kann. Vor ein paar Jahren lernten „Bastler“, wie man C&C-Infrastrukturadressen eigenständig zum Trojaner hinzufügt und begannen, die „geknackte“ Version zu […]
Regel-Digest: APT-Gruppen, Malware-Kampagnen und Windows-Telemetrie
Diese Woche hat unser Regel-Digest mehr Inhalte als gewöhnlich. Es sammelt Regeln zur Erkennung aktueller Angriffe von staatlich gesponserten Akteuren, Malware-Kampagnen von Cyberkriminellen und der Missbrauch von Windows-Telemetrie. Mustang Panda ist die in China ansässige Bedrohungsgruppe, die die Fähigkeit gezeigt hat, schnell neue Werkzeuge und Taktiken in ihren Operationen zu assimilieren. Diese APT-Gruppe zielt […]
Regel der Woche: Bunitu-Trojaner
Heute in der Rubrik Regel der Woche möchten wir eine neue Threat-Hunting-Regel von Ariel Millahuel hervorheben, die dabei hilft, Muster des Bunitu Proxy Trojaners zu erkennen: https://tdm.socprime.com/tdm/info/3evdCZVz3mCX/_WrlonIBPeJ4_8xctGPi/?p=1 Der Bunitu Trojaner wird verwendet, um infizierte Systeme in einen Proxy für entfernte Clients zu verwandeln. Seine schädlichen Aktionen können den Netzwerkverkehr verlangsamen, und Angreifer nutzen ihn oft […]
Bedrohungsjagd-Inhalt: Higaisa APT
Higaisa APT ist seit November 2019 bekannt, als Tencent-Forscher erstmals die Aktivitäten dokumentierten. Die Gruppe wurde kürzlich entdeckt, aber Angreifer operieren seit mehreren Jahren und verwenden gängige Werkzeuge, um die Zuordnung zu erschweren. Sie nutzen vor allem mobile Schadsoftware sowie die Trojaner Gh0st und PlugX. Forscher glauben, dass Higaisa APT eine von Südkorea unterstützte Gruppe […]
Erkennungsinhalt: Tycoon Ransomware
Trotz der Tatsache, dass neue Ransomware-Familien ziemlich oft erscheinen, konzentrieren sich die meisten ausschließlich auf Windows-Systeme. Viel interessanter ist Tycoon, eine plattformübergreifende Java-Ransomware, die Dateien sowohl auf Windows- als auch auf Linux-Systemen verschlüsseln kann. Diese Familie wurde nachweislich seit mindestens Dezember 2019 in freier Wildbahn beobachtet. Ihre Autoren haben sie in ein wenig bekanntes Java-Image-Dateiformat […]
Threat Hunting Inhalt: Spionagekampagne der Sandworm-Gruppe
Die von Russland unterstützte Cyberspionage-Einheit, bekannt für ihre zerstörerischen Angriffe, kompromittiert aktiv Exim-Mail-Server durch eine kritische Sicherheitslücke (CVE-2019-10149). Ende Mai veröffentlichte die National Security Agency eine Cyber-Sicherheitswarnung die vor einer Kampagne im Zusammenhang mit der Sandworm-Gruppe warnte. Die Gruppe ist am besten bekannt für ihre BlackEnergy-Kampagne, den Industroyer-Angriff auf das ukrainische Stromnetz und den NotPetya-Ausbruch, […]