Heute in der Rubrik Regel der Woche möchten wir eine neue Threat-Hunting-Regel von Ariel Millahuel hervorheben, die dabei hilft, Muster des Bunitu Proxy Trojaners zu erkennen: https://tdm.socprime.com/tdm/info/3evdCZVz3mCX/_WrlonIBPeJ4_8xctGPi/?p=1 Der Bunitu Trojaner wird verwendet, um infizierte Systeme in einen Proxy fĂĽr entfernte Clients zu verwandeln. Seine schädlichen Aktionen können den Netzwerkverkehr verlangsamen, und Angreifer nutzen ihn oft […]
Bedrohungsjagd-Inhalt: Higaisa APT
Higaisa APT ist seit November 2019 bekannt, als Tencent-Forscher erstmals die Aktivitäten dokumentierten. Die Gruppe wurde kĂĽrzlich entdeckt, aber Angreifer operieren seit mehreren Jahren und verwenden gängige Werkzeuge, um die Zuordnung zu erschweren. Sie nutzen vor allem mobile Schadsoftware sowie die Trojaner Gh0st und PlugX. Forscher glauben, dass Higaisa APT eine von SĂĽdkorea unterstĂĽtzte Gruppe […]
Erkennungsinhalt: Tycoon Ransomware
Trotz der Tatsache, dass neue Ransomware-Familien ziemlich oft erscheinen, konzentrieren sich die meisten ausschlieĂźlich auf Windows-Systeme. Viel interessanter ist Tycoon, eine plattformĂĽbergreifende Java-Ransomware, die Dateien sowohl auf Windows- als auch auf Linux-Systemen verschlĂĽsseln kann. Diese Familie wurde nachweislich seit mindestens Dezember 2019 in freier Wildbahn beobachtet. Ihre Autoren haben sie in ein wenig bekanntes Java-Image-Dateiformat […]
Threat Hunting Inhalt: Spionagekampagne der Sandworm-Gruppe
Die von Russland unterstĂĽtzte Cyberspionage-Einheit, bekannt fĂĽr ihre zerstörerischen Angriffe, kompromittiert aktiv Exim-Mail-Server durch eine kritische SicherheitslĂĽcke (CVE-2019-10149). Ende Mai veröffentlichte die National Security Agency eine Cyber-Sicherheitswarnung die vor einer Kampagne im Zusammenhang mit der Sandworm-Gruppe warnte. Die Gruppe ist am besten bekannt fĂĽr ihre BlackEnergy-Kampagne, den Industroyer-Angriff auf das ukrainische Stromnetz und den NotPetya-Ausbruch, […]
RegelĂĽbersicht: Emotet, Ransomware und Trojaner
Hallo zusammen, wir sind zurĂĽck mit fĂĽnf neuen Regeln, die diese Woche von Teilnehmern des Threat Bounty Programeingereicht wurden. Sie können unsere vorherigen Zusammenfassungen hiernachlesen, und wenn Sie Fragen haben, dann willkommen im Chat. Die Pykspa wurmähnliche Malware kann sich selbst installieren, um persistenz zu gewährleisten, eingehende Ports fĂĽr zusätzliche Befehle abhören und weitere bösartige […]
Regel der Woche: BefehlsausfĂĽhrung auf Azure VM
In der Regel der Woche Rubrik präsentieren wir Ihnen die BefehlsausfĂĽhrung auf Azure VM (via azureactivity) Regel vom SOC Prime Team: https://tdm.socprime.com/tdm/info/A5uYMlcWOmeq/RYxlfnIB1-hfOQirCXZy/?p=1#   Gegner können die Funktionalität von Azure VM ausnutzen, um einen Einstiegspunkt in einer Umgebung zu etablieren, was zur Aufrechterhaltung des Zugriffs und zur Privilegienerweiterung genutzt werden könnte. Sie können die Run Command-Funktion nutzen, […]
Erkennungsinhalt: Himera Loader
Der heutige Beitrag ist dem Himera-Loader-Malware gewidmet, die von Angreifern in COVID-19-bezogenen Phishing-Kampagnen seit dem letzten Monat verwendet wird. Cyberkriminelle nutzen weiterhin Anfragen im Rahmen des Family and Medical Leave Act im Zusammenhang mit den laufenden COVID-19-Pandemien als Köder, da dieses Thema sich bereits als effektiv erwiesen hat, um Trickbot und Kpot Info-Stealer zu verbreiten. […]
Bedrohungsjagd-Inhalt: AsyncRat-Erkennung
Heute, in der Threat Hunting Inhalte Kolumne, wecken wir Ihr Interesse an der AsyncRAT Erkennung (Sysmon-Verhalten) Community-Regel von Emir Erdogan. Die Regel ermöglicht die Erkennung von AsyncRat durch Verwendung von Sysmon-Protokollen. Laut dem Autor des Projekts auf GitHub, ist AsyncRat ein Remote Access Tool, das entwickelt wurde, um andere Computer ĂĽber eine sicher verschlĂĽsselte Verbindung […]
Erkennungsinhalte: APT38-Malware
Wir haben kĂĽrzlich eine Regel veröffentlicht, um eines der neuesten Werkzeuge der berĂĽchtigten APT38-Gruppe, auch bekannt als Lazarus oder Hidden Cobra, zu entdecken. Und es ist an der Zeit, weiterhin Inhalte zu veröffentlichen, um diese hochentwickelte Cyberkriminellengruppe zu entlarven. Im heutigen Artikel geben wir die Links zu frischen Erkennungsinhalten von einem der ersten Teilnehmer des […]
Bedrohungsjagd-Inhalt: Devil Shadow Botnet
Heutzutage verwenden viele Organisationen während der Ausgangssperre weiterhin Zoom auf Unternehmensebene, um Konferenzen abzuhalten, trotz der Sicherheitsprobleme, die in dieser Anwendung gefunden wurden. Angreifer haben die gestiegene Popularität dieser Anwendung seit mehreren Monaten ausgenutzt, und Sie können Ihre Organisation teilweise vor Angriffen schĂĽtzen, indem Sie den Zoom-Dienst härten. Aber das wird das Problem nicht vollständig […]