Seit Beginn der Pandemie sind Videokonferenzlösungen zu einem integralen Bestandteil des Arbeitsablaufs in vielen Organisationen geworden. Zuerst übernahm Zoom die Führung, und viele Cyberkriminelle begannen sofort damit, es in Phishing-Kampagnen zu nutzen, indem sie sich den Umstand zunutze machten, dass eine große Anzahl von Mitarbeitern diese Technologie zuvor noch nicht verwendet hatte. Bald entdeckten Sicherheitsforscher […]
Threat Hunting Regeln: Ave Maria RAT
Der heutige Artikel ist gewissermaßen eine Fortsetzung von Detection Content: Arkei Stealer da der Autor der Erkennungsregel für Ave Maria RAT derselbe ist und beide bösartigen Tools kürzlich aktiv über das Spamhaus-Netzwerk verbreitet wurden. Ave Maria ist ein Remote Access Trojaner, der oft von Angreifern verwendet wird, um die infizierten Systeme zu übernehmen und sie […]
Erkennungsinhalt: Arkei Stealer
Arkei Stealer ist eine Variante der Infostealer-Malware und seine Funktionalität ähnelt der Azorult-Malware: Er stiehlt sensible Informationen, Anmeldeinformationen und private Schlüssel zu Kryptowährungs-Wallets. Die Malware wird in Untergrundforen verkauft, und jeder kann sowohl die „legitime“ Version als auch die geknackte Version des Arkei Stealers erwerben und verwenden, was es schwierig macht, Angriffe zuzuordnen. Der lauteste […]
IOC Sigma: Erstellung von gefälschten Ordnern
Heute möchten wir der Community-IOC-Sigma-Regel, die von Ariel Millahuel eingereicht wurde, Beachtung schenken, um das Erstellen von Mock-Verzeichnissen zu erkennen, die zur Umgehung der Benutzerkontensteuerung (UAC) verwendet werden können: https://tdm.socprime.com/tdm/info/KB1bISN0mbzm/Hua9s3MBSh4W_EKGTlO2/?p=1 Ein Mock-Ordner ist eine spezifische Imitation eines Windows-Ordners mit einem Leerzeichen am Ende seines Namens, und der Sicherheitsforscher beschrieb den Weg, solche Verzeichnisse zu missbrauchen. […]
Erkennungsinhalt: Bazar Loader
Dieser Herbst hat eine weitere Herausforderung für die Wächter der Unternehmensinfrastrukturen gebracht. Früher in diesem Jahr, Ende April, haben Entwickler von TrickBot einen neuen heimlichen Backdoor in einer Phishing-Kampagne eingesetzt, die auf professionelle Dienstleistungen, Gesundheitswesen, Fertigung, IT, Logistik und Reiseunternehmen in den Vereinigten Staaten und Europa abzielte. Viele fortgeschrittene Bedrohungsakteure, einschließlich der berüchtigten Lazarus APT, […]
Regel der Woche: VHD Ransomware-Erkennung
Wir glauben, dass wir heute verdientermaßen den Titel Regel der Woche an die exklusive Sigma-Regel vergeben, die von Osman Demir entwickelt wurde, um VHD-Ransomware zu erkennen: https://tdm.socprime.com/tdm/info/jxteY8ELY6Yd/BwSPn3MBPeJ4_8xcn22h/?p=1 Die ersten Angriffe mit diesem Ransomware-Strang begannen im März 2020, und erst kürzlich haben Forscher sie mit der Lazarus APT in Verbindung gebracht. Dies wurde erleichtert durch die […]
Bedrohungsjagdregeln: Redaman RAT
Heute, in der Kategorie Bedrohungsjagd-Regeln, freuen wir uns, Ihnen eine neue Regel vorzustellen, die von Ariel Millahuel entwickelt wurde, die Redaman RAT erkennt: https://tdm.socprime.com/tdm/info/gAF3sheoIG9y/qtkZmnMBQAH5UgbBy6do/?p=1 Redaman ist eine Form von Banking-Trojanern, die durch Phishing-Kampagnen verbreitet werden. Es wurde erstmals 2015 gesehen und als RTM-Banking-Trojaner gemeldet, neue Versionen von Redaman erschienen 2017 und 2018. Im September 2019 […]
Erkennungsinhalt: MATA Multi-Plattform-Malware-Framework der Lazarus APT
Letzte Woche haben Forscher berichtet über das neueste berüchtigte Lazarus APT-Tool, das seit dem Frühjahr 2018 in den Angriffen der Gruppe verwendet wird. Ihr neues ‚Spielzeug‘ wurde MATA genannt, es handelt sich um ein modulares plattformübergreifendes Framework mit mehreren Komponenten, darunter ein Loader, Orchestrator und mehrere Plugins, die dazu verwendet werden können, Windows-, Linux- und […]
Bedrohungsjagd-Regeln: Golden Chickens MaaS
Wie Sie wissen, ist Malware-as-a-Service (MaaS) ein Geschäftsmodell, das bereits alltäglich geworden ist und in Untergrundforen und auf dem Schwarzmarkt eine Vielzahl von Dienstleistungen anbietet. Die ersten Angriffe unter Verwendung des Golden Chickens MaaS begannen bereits 2017, und die Cobalt-Gruppe gehörte zu ihren ersten „Kunden“. Der Erfolg dieses Projekts hängt stark von spezifischen Tools und […]
Erkennungsinhalt: RDAT-Hintertür
Letzte Woche haben Forscher Veröffentlichungen vorgenommen Details zu den Angriffen veröffentlicht, die auf die Telekommunikation im Nahen Osten abzielten, durchgeführt von APT34 (auch bekannt als OilRig und Helix Kitten) und aktualisierte Werkzeuge im Arsenal dieser Gruppe. Natürlich ließen es sich die Teilnehmer des Threat Bounty Program nicht nehmen, ein paar Regeln zur Erkennung des RDAT-Backdoors […]