Zoom-Themen-Köder werden weiterhin aktiv von Cyberkriminellen genutzt und stehen an vorderster Stelle der am häufigsten verwendeten Themen in Phishing-Kampagnen. Seit Beginn der Lockdown-Maßnahmen stieg die Popularität von Zoom, ebenso die Anzahl der Angriffe. Und selbst nachdem Forscher ernsthafte Sicherheitsprobleme mit dem Dienst entdeckten, haben viele Organisationen nicht auf seine Nutzung verzichtet. Zu diesem Thema haben […]
Erkennung Inhalt: Finden des Lokibot Trojaners
Lokibot ist eine trojanische Malware, die entwickelt wurde, um eine Vielzahl sensibler Daten zu sammeln. Es wurde erstmals 2015 bemerkt und bleibt bei Cyberkriminellen sehr beliebt, da es im Untergrundforum von jedem Angreifer gekauft werden kann. Vor ein paar Jahren lernten „Bastler“, wie man C&C-Infrastrukturadressen eigenständig zum Trojaner hinzufügt und begannen, die „geknackte“ Version zu […]
Regel-Digest: APT-Gruppen, Malware-Kampagnen und Windows-Telemetrie
Diese Woche hat unser Regel-Digest mehr Inhalte als gewöhnlich. Es sammelt Regeln zur Erkennung aktueller Angriffe von staatlich gesponserten Akteuren, Malware-Kampagnen von Cyberkriminellen und der Missbrauch von Windows-Telemetrie. Mustang Panda ist die in China ansässige Bedrohungsgruppe, die die Fähigkeit gezeigt hat, schnell neue Werkzeuge und Taktiken in ihren Operationen zu assimilieren. Diese APT-Gruppe zielt […]
Regel der Woche: Bunitu-Trojaner
Heute in der Rubrik Regel der Woche möchten wir eine neue Threat-Hunting-Regel von Ariel Millahuel hervorheben, die dabei hilft, Muster des Bunitu Proxy Trojaners zu erkennen: https://tdm.socprime.com/tdm/info/3evdCZVz3mCX/_WrlonIBPeJ4_8xctGPi/?p=1 Der Bunitu Trojaner wird verwendet, um infizierte Systeme in einen Proxy für entfernte Clients zu verwandeln. Seine schädlichen Aktionen können den Netzwerkverkehr verlangsamen, und Angreifer nutzen ihn oft […]
Bedrohungsjagd-Inhalt: Higaisa APT
Higaisa APT ist seit November 2019 bekannt, als Tencent-Forscher erstmals die Aktivitäten dokumentierten. Die Gruppe wurde kürzlich entdeckt, aber Angreifer operieren seit mehreren Jahren und verwenden gängige Werkzeuge, um die Zuordnung zu erschweren. Sie nutzen vor allem mobile Schadsoftware sowie die Trojaner Gh0st und PlugX. Forscher glauben, dass Higaisa APT eine von Südkorea unterstützte Gruppe […]
Erkennungsinhalt: Tycoon Ransomware
Trotz der Tatsache, dass neue Ransomware-Familien ziemlich oft erscheinen, konzentrieren sich die meisten ausschließlich auf Windows-Systeme. Viel interessanter ist Tycoon, eine plattformübergreifende Java-Ransomware, die Dateien sowohl auf Windows- als auch auf Linux-Systemen verschlüsseln kann. Diese Familie wurde nachweislich seit mindestens Dezember 2019 in freier Wildbahn beobachtet. Ihre Autoren haben sie in ein wenig bekanntes Java-Image-Dateiformat […]
Threat Hunting Inhalt: Spionagekampagne der Sandworm-Gruppe
Die von Russland unterstützte Cyberspionage-Einheit, bekannt für ihre zerstörerischen Angriffe, kompromittiert aktiv Exim-Mail-Server durch eine kritische Sicherheitslücke (CVE-2019-10149). Ende Mai veröffentlichte die National Security Agency eine Cyber-Sicherheitswarnung die vor einer Kampagne im Zusammenhang mit der Sandworm-Gruppe warnte. Die Gruppe ist am besten bekannt für ihre BlackEnergy-Kampagne, den Industroyer-Angriff auf das ukrainische Stromnetz und den NotPetya-Ausbruch, […]
Regelübersicht: Emotet, Ransomware und Trojaner
Hallo zusammen, wir sind zurück mit fünf neuen Regeln, die diese Woche von Teilnehmern des Threat Bounty Programeingereicht wurden. Sie können unsere vorherigen Zusammenfassungen hiernachlesen, und wenn Sie Fragen haben, dann willkommen im Chat. Die Pykspa wurmähnliche Malware kann sich selbst installieren, um persistenz zu gewährleisten, eingehende Ports für zusätzliche Befehle abhören und weitere bösartige […]
Regel der Woche: Befehlsausführung auf Azure VM
In der Regel der Woche Rubrik präsentieren wir Ihnen die Befehlsausführung auf Azure VM (via azureactivity) Regel vom SOC Prime Team: https://tdm.socprime.com/tdm/info/A5uYMlcWOmeq/RYxlfnIB1-hfOQirCXZy/?p=1# Gegner können die Funktionalität von Azure VM ausnutzen, um einen Einstiegspunkt in einer Umgebung zu etablieren, was zur Aufrechterhaltung des Zugriffs und zur Privilegienerweiterung genutzt werden könnte. Sie können die Run Command-Funktion nutzen, […]
Erkennungsinhalt: Himera Loader
Der heutige Beitrag ist dem Himera-Loader-Malware gewidmet, die von Angreifern in COVID-19-bezogenen Phishing-Kampagnen seit dem letzten Monat verwendet wird. Cyberkriminelle nutzen weiterhin Anfragen im Rahmen des Family and Medical Leave Act im Zusammenhang mit den laufenden COVID-19-Pandemien als Köder, da dieses Thema sich bereits als effektiv erwiesen hat, um Trickbot und Kpot Info-Stealer zu verbreiten. […]