Wir freuen uns, Ihnen den neuesten Rule Digest zu präsentieren, der sich im Gegensatz zu dem vorherigen Digestnur aus Regeln besteht, die vom SOC Prime Team entwickelt wurden. Dies ist eine Art thematische Auswahl, da alle diese Regeln helfen, bösartige Aktivitäten über die Befehlszeile durch die Analyse von Sysmon-Logs zu finden. Aber bevor wir direkt […]
Regel der Woche: Turla-Gruppe
Die Turla APT ist seit 2004 aktiv und führt Cyber-Spionagekampagnen durch, die auf eine Vielzahl von Branchen abzielen, darunter Regierung, Botschaften, Militär, Bildung, Forschung und Pharmaunternehmen in Europa, dem Nahen Osten, Asien und Südamerika. Dies ist einer der fortschrittlichsten von Russland staatlich unterstützten Bedrohungsakteure, bekannt für seine ausgeklügelten Werkzeuge und ungewöhnlichen Ideen während der Angriffe. […]
Erkennungsinhalt: Scarab-Ransomware
Scarab Ransomware wurde erstmals im Juni 2017 entdeckt und tauchte seitdem mit neuen Versionen wieder auf. Diese Ransomware ist eine von vielen HiddenTear-Varianten, einem Open-Source-Ransomware-Trojaner, der 2015 veröffentlicht wurde. Die kürzlich entdeckten Ransomware-Versionen verwenden eine verbesserte RSA-Verschlüsselungsmethode und fügen infizierten Dateien verschiedene Erweiterungen hinzu. Die Scarab-Ransomware stört alternative Wiederherstellungsmethoden, indem sie die Windows-Wiederherstellungspunkte und die […]
Aktualisierungen des SOC Prime Threat Detection Marketplace: Mai 2020
Wir suchen ständig nach Möglichkeiten, Ihre Erfahrung mit SOC Prime zu verbessern Threat Detection Marketplace (TDM) und heute freuen wir uns sehr, Ihnen unsere neuesten Updates und Verbesserungen vorzustellen. Neues UI für Regelpakete Wir haben das Regelpaket eingängiger gemacht mit seinem neu gestalteten Look-and-Feel. Mit dieser Veröffentlichung zeigt jedes ausgewählte Regelpaket alle Details auf […]
Threat-Hunting-Inhalt: PipeMon-Malware-Erkennung
PipeMon ist ein modularer Backdoor, der mit einem Zertifikat unterzeichnet ist, das zu einer Videospielefirma gehört, die 2018 von der Winnti-Gruppe kompromittiert wurde. Forscher bei ESET entdeckten diesen Backdoor, der in Angriffen auf Firmen in Südkorea und Taiwan verwendet wurde, die beliebte Massively Multiplayer Online-Spiele entwickeln. Sie benannten den Backdoor PipeMon, weil der Malware-Autor „Monitor“ […]
IOC Sigma: Aktivitäten der GreenBug APT-Gruppe
Greenbug APT ist eine iranische Cyber-Spionage-Einheit, die seit mindestens Juni 2016 aktiv ist. Die Gruppe nutzt höchstwahrscheinlich Spear-Phishing-Angriffe, um zielgerichtete Organisationen zu kompromittieren. Gegner nutzen mehrere Werkzeuge, um nach einer ersten Kompromittierung andere Systeme im Netzwerk zu kompromittieren und Benutzernamen und Passwörter von Betriebssystemen, E-Mail-Konten und Webbrowsern zu stehlen. Im Jahr 2017 wurden die von […]
Interview mit Entwickler: Sreeman Shanker
Treffen Sie Sreeman, einen der aktivsten Teilnehmer des SOC Prime Threat Bounty Programms. Sreeman nimmt seit Dezember 2019 am Threat Bounty Programm teil. Bevor er begann, seinen eigenen entwickelten Inhalt auf dem Threat Detection Marketplace zu veröffentlichen, hatte Sreeman eine Vielzahl von Änderungen und Verbesserungen zu den bestehenden TDM-Inhaltstranslationen für Azure Sentinel und Microsoft Defender […]
Erkennungsinhalt: Malspam lädt Zloader-Malware herunter
Der Zloader-Trojaner (auch bekannt als Zeus Sphinx und Terdot) wurde erstmals im August 2015 entdeckt. Er basiert auf dem geleakten Quellcode des Zeus v2-Trojaners und wurde von Cyberkriminellen bei Angriffen auf Finanzorganisationen weltweit eingesetzt, um über Web-Injections sensible Daten zu sammeln. Anfang 2018 verschwand der Einsatz dieses Banking-Trojaners in freier Wildbahn, aber im Dezember letzten […]
Regelübersicht: Trojaner, Cyber-Spione und die RATicate-Gruppe
Diese Woche in unserem Digest gibt es Regeln, die ausschließlich von Teilnehmern des Threat Bounty Program. Der Bedrohungsakteur hinter der jüngsten Ursnif-Variante führt möglicherweise gezielte Cyberkriminalitätsoperationen durch, die noch andauern. Im Herzen dieser Kampagnen steht eine Variante des Ursnif-Trojaners, die als Downloader und Aufklärungstool umfunktioniert wurde, um die speziellen Bedürfnisse des Akteurs zu erfüllen. Die […]
Regel der Woche: QakBot-Malware-Erkennung
Der QakBot-Banking-Trojaner (auch bekannt als QBot) wird seit über 10 Jahren in Angriffen auf Organisationen eingesetzt, und seine Autoren überwachen kontinuierlich die Bedrohungslandschaft, um neue Funktionen hinzuzufügen oder diese zu entfernen, wenn sie nicht ordnungsgemäß funktionieren. Im Jahr 2017 besaß diese Malware wurmähnliche Fähigkeiten und war in der Lage, Active Directory-Benutzer zu sperren, um Organisationen […]