PipeMon ist ein modularer Backdoor, der mit einem Zertifikat unterzeichnet ist, das zu einer Videospielefirma gehört, die 2018 von der Winnti-Gruppe kompromittiert wurde. Forscher bei ESET entdeckten diesen Backdoor, der in Angriffen auf Firmen in Südkorea und Taiwan verwendet wurde, die beliebte Massively Multiplayer Online-Spiele entwickeln. Sie benannten den Backdoor PipeMon, weil der Malware-Autor „Monitor“ […]
IOC Sigma: Aktivitäten der GreenBug APT-Gruppe
Greenbug APT ist eine iranische Cyber-Spionage-Einheit, die seit mindestens Juni 2016 aktiv ist. Die Gruppe nutzt höchstwahrscheinlich Spear-Phishing-Angriffe, um zielgerichtete Organisationen zu kompromittieren. Gegner nutzen mehrere Werkzeuge, um nach einer ersten Kompromittierung andere Systeme im Netzwerk zu kompromittieren und Benutzernamen und Passwörter von Betriebssystemen, E-Mail-Konten und Webbrowsern zu stehlen. Im Jahr 2017 wurden die von […]
Interview mit Entwickler: Sreeman Shanker
Treffen Sie Sreeman, einen der aktivsten Teilnehmer des SOC Prime Threat Bounty Programms. Sreeman nimmt seit Dezember 2019 am Threat Bounty Programm teil. Bevor er begann, seinen eigenen entwickelten Inhalt auf dem Threat Detection Marketplace zu veröffentlichen, hatte Sreeman eine Vielzahl von Änderungen und Verbesserungen zu den bestehenden TDM-Inhaltstranslationen für Azure Sentinel und Microsoft Defender […]
Erkennungsinhalt: Malspam lädt Zloader-Malware herunter
Der Zloader-Trojaner (auch bekannt als Zeus Sphinx und Terdot) wurde erstmals im August 2015 entdeckt. Er basiert auf dem geleakten Quellcode des Zeus v2-Trojaners und wurde von Cyberkriminellen bei Angriffen auf Finanzorganisationen weltweit eingesetzt, um über Web-Injections sensible Daten zu sammeln. Anfang 2018 verschwand der Einsatz dieses Banking-Trojaners in freier Wildbahn, aber im Dezember letzten […]
Regelübersicht: Trojaner, Cyber-Spione und die RATicate-Gruppe
Diese Woche in unserem Digest gibt es Regeln, die ausschließlich von Teilnehmern des Threat Bounty Program. Der Bedrohungsakteur hinter der jüngsten Ursnif-Variante führt möglicherweise gezielte Cyberkriminalitätsoperationen durch, die noch andauern. Im Herzen dieser Kampagnen steht eine Variante des Ursnif-Trojaners, die als Downloader und Aufklärungstool umfunktioniert wurde, um die speziellen Bedürfnisse des Akteurs zu erfüllen. Die […]
Regel der Woche: QakBot-Malware-Erkennung
Der QakBot-Banking-Trojaner (auch bekannt als QBot) wird seit über 10 Jahren in Angriffen auf Organisationen eingesetzt, und seine Autoren überwachen kontinuierlich die Bedrohungslandschaft, um neue Funktionen hinzuzufügen oder diese zu entfernen, wenn sie nicht ordnungsgemäß funktionieren. Im Jahr 2017 besaß diese Malware wurmähnliche Fähigkeiten und war in der Lage, Active Directory-Benutzer zu sperren, um Organisationen […]
Erkennungsinhalt: Kpot Info-Stealer-Kampagne
COVID-19 ist bei weitem das beliebteste Thema, das von Cyberkriminellen in Phishing- und Malspam-Kampagnen ausgenutzt wird. Kürzlich haben Angreifer eine neue und effektive Methode gefunden, um den Benutzer davon zu überzeugen, einen bösartigen Anhang zu öffnen. Forscher von IBM X-Force entdeckten eine bösartige Kampagne, die E-Mails verwendete, die vorgeben, Nachrichten vom US-amerikanischen Arbeitsministerium zu sein. […]
Threat Hunting Inhalt: TAINTEDSCRIBE Trojaner
Letzte Woche veröffentlichten CISA, FBI und DoD Malware-Analyseberichte über kürzlich entdeckte Werkzeuge der berüchtigten Lazarus-Gruppe, die im Interesse der nordkoreanischen Regierung operieren. Die Malware-Varianten, genannt COPPERHEDGE, TAINTEDSCRIBE und PEBBLEDASH, können für Aufklärung und das Löschen vertraulicher Informationen auf Zielsystemen verwendet werden. Die TAINTEDSCRIBE-Malware wird als Backdoor-Implantat verwendet, getarnt als Microsofts Narrator. Die Lazarus-Gruppe nutzt sie, […]
Erkennung Inhalte: Jagd auf Netwire RAT
NetWire ist ein öffentlich verfügbarer Remote Access Trojaner, der Teil der NetWiredRC Malware-Familie ist und seit 2012 von Cyberkriminellen genutzt wird. Seine Hauptfunktionalität konzentriert sich auf das Stehlen von Anmeldedaten und Keylogging, aber er hat auch Fernsteuerungsfähigkeiten. Gegner verbreiten NetWire oft durch Malspam und Phishing-E-Mails. In einer kürzlichen Kampagne zielten Cyberkriminelle auf Nutzer in Deutschland […]
Interview mit Entwickler: Emir Erdogan
Wir führen weiterhin Interviews mit den Mitgliedern des Threat Bounty Program (https://my.socprime.com/en/tdm-developers), und heute möchten wir Ihnen Emir Erdogan vorstellen. Emir nimmt seit September 2019 an dem Programm teil, er hat über 110 Sigma-Regeln auf seinen Namen veröffentlicht, aber Emir veröffentlicht auch YARA-Regeln, um tatsächliche Bedrohungen zu erkennen. Seine Regeln werden oft in unseren Blogbeiträgen gefunden: […]