COVID-19 ist bei weitem das beliebteste Thema, das von Cyberkriminellen in Phishing- und Malspam-Kampagnen ausgenutzt wird. KĂĽrzlich haben Angreifer eine neue und effektive Methode gefunden, um den Benutzer davon zu ĂĽberzeugen, einen bösartigen Anhang zu öffnen. Forscher von IBM X-Force entdeckten eine bösartige Kampagne, die E-Mails verwendete, die vorgeben, Nachrichten vom US-amerikanischen Arbeitsministerium zu sein. […]
Threat Hunting Inhalt: TAINTEDSCRIBE Trojaner
Letzte Woche veröffentlichten CISA, FBI und DoD Malware-Analyseberichte ĂĽber kĂĽrzlich entdeckte Werkzeuge der berĂĽchtigten Lazarus-Gruppe, die im Interesse der nordkoreanischen Regierung operieren. Die Malware-Varianten, genannt COPPERHEDGE, TAINTEDSCRIBE und PEBBLEDASH, können fĂĽr Aufklärung und das Löschen vertraulicher Informationen auf Zielsystemen verwendet werden. Die TAINTEDSCRIBE-Malware wird als Backdoor-Implantat verwendet, getarnt als Microsofts Narrator. Die Lazarus-Gruppe nutzt sie, […]
Erkennung Inhalte: Jagd auf Netwire RAT
NetWire ist ein öffentlich verfĂĽgbarer Remote Access Trojaner, der Teil der NetWiredRC Malware-Familie ist und seit 2012 von Cyberkriminellen genutzt wird. Seine Hauptfunktionalität konzentriert sich auf das Stehlen von Anmeldedaten und Keylogging, aber er hat auch Fernsteuerungsfähigkeiten. Gegner verbreiten NetWire oft durch Malspam und Phishing-E-Mails. In einer kĂĽrzlichen Kampagne zielten Cyberkriminelle auf Nutzer in Deutschland […]
Interview mit Entwickler: Emir Erdogan
Wir fĂĽhren weiterhin Interviews mit den Mitgliedern des Threat Bounty Program (https://my.socprime.com/en/tdm-developers), und heute möchten wir Ihnen Emir Erdogan vorstellen. Emir nimmt seit September 2019 an dem Programm teil, er hat ĂĽber 110 Sigma-Regeln auf seinen Namen veröffentlicht, aber Emir veröffentlicht auch YARA-Regeln, um tatsächliche Bedrohungen zu erkennen. Seine Regeln werden oft in unseren Blogbeiträgen gefunden: […]
Threat-Hunting-Inhalte: HawkEye Mehrfacherkennung
Wir beginnen die Woche mit einer neuen Regel von Emir Erdogan – HawkEye Multiple Detection (Covid19 Thematisierte Phishing-Kampagne). Diese Malware ist auch als Predator Pain bekannt und stiehlt eine Vielzahl sensibler Informationen vom infizierten System, darunter Bitcoin-Wallet-Informationen und Anmeldedaten fĂĽr Browser und E-Mail-Clients. Der Stealer ist in der Lage, Screenshots zu machen und kann als […]
Regelzusammenfassung: RCE, CVE, OilRig und mehr
Dieses Digest enthält Regeln sowohl von Mitgliedern des Threat Bounty Program als auch vom SOC Prime Team. Beginnen wir mit den Regeln von Arunkumar Krishna, die in unserem Regel-Digest debĂĽtieren mit CVE-2020-0932: Eine Remote-Code-AusfĂĽhrungs-Schwachstelle in Microsoft SharePoint. CVE-2020-0932 wurde im April gepatcht und erlaubt authentifizierten Benutzern, beliebigen Code auf einem SharePoint-Server auszufĂĽhren. Die Standardkonfiguration von […]
Regel der Woche: Nefilim/Nephilim Ransomware-Erkennung
Diese Woche möchten wir die Community Sigma-Regel von Emir Erdogan hervorheben, die hilft, Nefilim/Nephilim-Ransomware zu erkennen in destruktiven Angriffen eingesetzt. Diese Ransomware-Familie wurde vor zwei Monaten erstmals entdeckt und ihr Code basiert auf der NEMTY-Ransomware, die letzten Sommer als öffentliches Affiliate-Programm aufkam. Es sieht so aus, als ob NEMTY in zwei separate Projekte geforkt wurde, […]
Bedrohungsjagd Inhalte: Remcos RAT COVID19-Kampagnen
Remcos RAT wurde erstmals 2016 entdeckt. Jetzt gibt es vor, ein legitimes Fernzugriffstool zu sein, aber es wurde in mehreren globalen Hacker-Kampagnen eingesetzt. Auf verschiedenen Websites und Foren werben, verkaufen und bieten Cyberkriminelle die geknackte Version dieser Malware an. Seit dem Ende Februar, haben Sicherheitsforscher mehrere Kampagnen entdeckt, die den Remcos Trojaner verteilen und das […]
Erkennungsinhalt: Floxif Trojaner
Der Floxif-Trojaner ist hauptsächlich dafĂĽr bekannt, dass er von der Winnti-Gruppe genutzt wurde. Sie verteilten ihn mit dem infizierten CCleaner, der von Nutzern von der offiziellen Website heruntergeladen wurde. Der Angriff ereignete sich im September 2017. Die Angreifer verschafften sich angeblich Zugang zur Build-Umgebung von CCleaner. Der Floxif-Trojaner wurde zusammen mit dem Nyetya-Trojaner verwendet, um […]
Benutzerdefinierte Felder Zuordnung
Dieser Blog-Beitrag beschreibt die benutzerdefinierte Daten-Schema-Mapping-Funktion, die auf dem SOC Prime Threat Detection Marketplace fĂĽr Premium-Abonnementpläne verfĂĽgbar ist. Das benutzerdefinierte Daten-Schema-Mapping ermöglicht es den Benutzern, eine benutzerdefinierte Mapping-Konfiguration fĂĽr die meisten Protokollquellen und Plattformen zu erstellen, die automatisch auf Regeln angewendet werden kann auf Threat Detection Marketplace , um sie mit Ihrer Plattform kompatibler zu […]