Kategorie
Malware-Analyse
Outlaw ist eine persistente Linux-Malware, die einfache Brute-Force- und Mining-Taktiken nutzt, um ein langlebiges Botnet aufrechtzuerhalten.
The Shelby Strategy
Eine Analyse des Missbrauchs von GitHub für C2 durch REF8685, um Abwehrmaßnahmen zu umgehen.
Shedding light on the ABYSSWORKER driver
Elastic Security Labs beschreibt ABYSSWORKER, einen bösartigen Treiber, der mit der Ransomware-Angriffskette MEDUSA verwendet wird, um Anti-Malware-Tools zu deaktivieren.
You've Got Malware: FINALDRAFT Hides in Your Drafts
Bei einer kürzlich durchgeführten Untersuchung (REF7707) entdeckten die Elastic Security Labs neue Malware, die auf ein ausländisches Ministerium abzielte. Die Malware enthält einen benutzerdefinierten Loader und eine Backdoor mit vielen Funktionen, einschließlich der Verwendung der Graph-API von Microsoft für die C2-Kommunikation.
Unter der SADBRIDGE mit GOSAR: QUASAR erhält eine Golang-Überarbeitung
Die Elastic Security Labs veröffentlichen Details über den SADBRIDGE-Loader und die GOSAR-Backdoor, Malware, die in Kampagnen gegen chinesischsprachige Opfer verwendet wird.
Entfernung der Krallen von PUMAKIT
PUMAKIT ist ein hochentwickeltes Loadable Kernel Module (LKM) Rootkit, das fortschrittliche Stealth-Mechanismen zur Verbergung seiner Präsenz und Aufrechterhaltung der Kommunikation mit Command-and-Control-Servern einsetzt.
Katz and Mouse Game: MaaS Infostealers Adapt to Patched Chrome Defenses
Elastic Security Labs schlüsselt Bypass-Implementierungen aus der Reaktion des Infostealer-Ökosystems auf das anwendungsgebundene Verschlüsselungsschema von Chrome 127 auf.
Tricks und Täuschungen: Die neue Täuschung auf Pixelebene von GHOSTPULSE
Die aktualisierte GHOSTPULSE-Malware hat sich weiterentwickelt und bettet bösartige Daten direkt in Pixelstrukturen ein, sodass die Erkennung schwieriger wird und neue Analyse- und Erkennungstechniken erforderlich sind.
Wetten auf Bots: Untersuchung von Linux-Malware, Krypto-Mining und Missbrauch von Glücksspiel-APIs
Die Kampagne REF6138 beinhaltete Kryptomining, DDoS-Angriffe und potenzielle Geldwäsche über Glücksspiel-APIs und verdeutlichte den Einsatz sich ständig weiterentwickelnder Malware und versteckter Kommunikationskanäle durch die Angreifer.
Verhaltenskodex: Mit Python betriebene Einbrüche der Demokratischen Volksrepublik Korea in gesicherte Netzwerke
Diese Publikation untersucht den strategischen Einsatz von Python und sorgfältig ausgearbeitetem Social Engineering durch die Demokratische Volksrepublik Korea und beleuchtet, wie sie mit immer neuen und effektiven Cyberangriffen in hochsichere Netzwerke einbricht.
Jenseits des Gejammers: Die Dekonstruktion des BANSHEE-Infostealers
Die BANSHEE-Malware ist ein macOS-basierter Infostealer, der auf Systeminformationen, Browserdaten und Kryptowährungs-Wallets abzielt.
BITS und Bytes: Analyse von BITSLOTH, einer neu identifizierten Hintertür
Elastic Security Labs hat eine neuartige Windows-Hintertür identifiziert, die den Background Intelligent Transfer Service (BITS) für C2 nutzt. Diese Malware wurde während einer kürzlichen Aktivität der Gruppe gefunden, die als REF8747 verfolgt wurde.
Eintauchen in die Gefahr: Die WARMCOOKIE-Hintertür
Elastic Security Labs beobachtete Bedrohungsakteure, die sich als Personalvermittlungsfirmen ausgaben, um eine neue Malware-Hintertür namens WARMCOOKIE einzusetzen. Diese Malware verfügt über standardmäßige Backdoor-Funktionen, einschließlich des Aufnehmens von Screenshots, des Ausführens zusätzlicher Malware und des Lesens/Schreibens von Dateien.
Global verteilte Stealer
In diesem Artikel wird unsere Analyse der wichtigsten Malware-Stealer-Familien beschrieben und deren Betriebsmethoden, aktuelle Updates und Konfigurationen vorgestellt. Wenn wir den Modus Operandi jeder Familie verstehen, können wir das Ausmaß ihrer Auswirkungen besser verstehen und unsere Abwehrkräfte entsprechend stärken.
Frühjahrsputz mit LATRODECTUS: Ein potenzieller Ersatz für ICEDID
Elastic Security Labs hat einen Aufwärtstrend bei einem kürzlich aufkommenden Loader namens LATRODECTUS beobachtet. Dieser leichte Lader hat es in sich, wenn er mit ICEDID verbunden ist, und könnte sich als möglicher Ersatz erweisen, um die Lücke auf dem Ladermarkt zu schließen.
Analyse von REMCOS RAT: Eine eingehende Analyse einer weit verbreiteten 2024 Malware, Teil vier
In früheren Artikeln dieser mehrteiligen Serie haben Malware-Forscher des Elastic Security Labs-Teams die REMCOS-Konfigurationsstruktur zerlegt und Details zu den C2-Befehlen gegeben. In diesem letzten Teil erfahren Sie mehr über das Erkennen und Aufspüren von REMCOS mithilfe von Elastic-Technologien.
Analyse von REMCOS RAT: Eine eingehende Analyse einer weit verbreiteten 2024 Malware, Teil drei
In früheren Artikeln dieser mehrteiligen Serie haben sich Malware-Forscher des Elastic Security Labs-Teams mit dem REMCOS-Ausführungsablauf befasst. In diesem Artikel erfahren Sie mehr über die REMCOS-Konfigurationsstruktur und ihre C2-Befehle.
REMCOS RAT analysieren: Eine eingehende Analyse einer weit verbreiteten 2024 Malware, Teil Zwei
Im vorherigen Artikel dieser Serie über das REMCOS-Implantat haben wir Informationen über Ausführungs-, Persistenz- und Abwehrumgehungsmechanismen geteilt. In Fortsetzung dieser Serie behandeln wir die zweite Hälfte des Ausführungsablaufs und Sie erfahren mehr über die Aufnahmefunktionen von REMCOS und die Kommunikation mit dem C2.
REMCOS RAT analysieren: Eine eingehende Analyse einer weit verbreiteten 2024 Malware, Teil Eins
Dieser Artikel zur Malware-Forschung beschreibt das REMCOS-Implantat auf hohem Niveau und bietet Hintergrundinformationen für zukünftige Artikel in dieser mehrteiligen Serie.
Einführung in die Interna der Hex-Rays-Dekompilierung
In dieser Veröffentlichung befassen wir uns mit dem Hex-Rays-Mikrocode und untersuchen Techniken zur Manipulation des generierten CTree, um dekompilierten Code zu entschleiern und zu kommentieren.
Mit GULOADER klebrig werden: Entschleierung des Downloaders
Elastic Security Labs führt Sie durch die aktualisierten Gegenmaßnahmen für die GULOADER-Analyse.
Elastic fängt DVRK beim Verteilen von KANDYKORN auf
Elastic Security Labs deckt einen Versuch der DVRK auf, Blockchain-Ingenieure mit neuartiger macOS-Malware zu infizieren.
GHOSTPULSE verfolgt Opfer mit Tricks zur Umgehung der Verteidigung
Elastic Security Labs enthüllt Details zu einer neuen Kampagne, die Funktionen zur Umgehung der Verteidigung nutzt, um Opfer mit bösartigen ausführbaren MSIX-Dateien zu infizieren.
Enthüllung der BLOODALCHEMY-Hintertür
BLOODALCHEMY ist eine neue, aktiv entwickelte Hintertür, die eine gutartige Binärdatei als Einspritzvehikel nutzt und Teil des REF5961 Intrusion-Sets ist.
Tanzen Sie die ganze Nacht durch mit Named Pipes - PIPEDANCE Client Release
In dieser Veröffentlichung werden die Funktionen dieser Clientanwendung und die ersten Schritte mit dem Tool erläutert.
Wir stellen vor: Das REF5961 Einbruchsset
Das REF5961 Intrusion Set enthüllt drei neue Malware-Familien, die auf ASEAN-Mitglieder abzielen. Der Bedrohungsakteur, der diese Intrusion-Suite nutzt, entwickelt seine Fähigkeiten weiter und reift weiter.
Revisiting BLISTER: Neuentwicklung des BLISTER-Laders
Elastic Security Labs befasst sich eingehend mit der jüngsten Entwicklung der BLISTER-Loader-Malware-Familie.
NAPLISTENER: Noch mehr böse Träume von den Entwicklern von SIESTAGRAPH
Elastic Security Labs stellt fest, dass die Bedrohung hinter SIESTAGRAPH ihre Prioritäten vom Datendiebstahl hin zum dauerhaften Zugriff verlagert hat und neue Malware wie NAPLISTENER einsetzt, um der Erkennung zu entgehen.
Elastische Anhänger SPECTRALVIPER
Elastic Security Labs hat die Malware-Familien P8LOADER, POWERSEAL und SPECTRALVIPER entdeckt, die auf ein nationales vietnamesisches Agrarunternehmen abzielen. REF2754 hat die gleichen Malware- und Motivationselemente wie die Aktivitätsgruppen REF4322 und APT32.
Elastic Security Labs führt Schritte durch das r77-Rootkit durch
Elastic Security Labs untersucht eine Kampagne, die das r77-Rootkit nutzt, und wurde beim Einsatz des XMRIG-Krypto-Miners beobachtet. Die Studie beleuchtet die verschiedenen Module des Rootkits und wie sie verwendet werden, um zusätzliche bösartige Nutzlasten bereitzustellen.
Elastic Security Labs entdeckt die LOBSHOT-Malware
Elastic Security Labs gibt einer neuen Malware-Familie den Namen LOBSHOT. LOBSHOT verbreitet und infiltriert Zielnetzwerke über Google Ads- und hVNC-Sitzungen, um Hintertüren einzusetzen, die sich als legitime Anwendungsinstallationsprogramme ausgeben.
Elastic-Benutzer vor dem Supply-Chain-Angriff von SUDDENDICON geschützt
Elastic Security Labs veröffentlicht eine Triage-Analyse, um 3CX-Kunden bei der ersten Erkennung von SUDDDICON zu unterstützen, einer potenziellen Kompromittierung der Lieferkette, die Benutzer von 3CX VOIP-Softphones betrifft.
BLISTER-Lader
Der BLISTER-Loader wird nach wie vor aktiv genutzt, um eine Vielzahl von Malware zu laden.
Angriffskette führt zu XWORM und AGENTTESLA
Unser Team hat kürzlich eine neue Malware-Kampagne beobachtet, die einen gut entwickelten Prozess mit mehreren Stufen verwendet. Die Kampagne soll ahnungslose Nutzer dazu verleiten, auf die Dokumente zu klicken, die legitim erscheinen.
Nicht mehr schlafen: Der Weckruf von SOMNIRECORD
Forscher der Elastic Security Labs haben eine neue, in C++ geschriebene Malware-Familie identifiziert, die wir als SOMNIRECORD bezeichnen. Diese Malware fungiert als Hintertür und kommuniziert mit Command and Control (C2), während sie sich als DNS tarnt.
Auftauen des Permafrosts von ICEDID Zusammenfassung
Elastic Security Labs analysierte eine aktuelle ICEDID-Variante, die aus einem Loader und einer Bot-Nutzlast besteht. Indem wir diese Forschung der Community durchgängig zur Verfügung stellen, hoffen wir, das Bewusstsein für die Ausführungskette, die Fähigkeiten und das Design von ICEDID zu schärfen.
Zweimal um die Tanzfläche - Elastic entdeckt die PIPEDANCE Hintertür
Elastic Security Labs verfolgt ein aktives Eindringen in ein vietnamesisches Unternehmen mithilfe einer kürzlich entdeckten triggerbaren Multi-Hop-Backdoor, die wir PIPEDANCE nennen. Diese voll funktionsfähige Malware ermöglicht heimliche Operationen durch die Verwendung von benannten
CUBA Ransomware Malware-Analyse
Elastic Security hat eine gründliche technische Analyse der CUBA Ransomware-Familie durchgeführt. Dazu gehören sowohl Malware-Fähigkeiten als auch defensive Gegenmaßnahmen.
QBOT Malware-Analyse
Elastic Security Labs veröffentlicht einen QBOT-Malware-Analysebericht, der die Ausführungskette abdeckt. Aus dieser Forschung hat das Team eine YARA-Regel, einen Konfigurationsextraktor und Indikatoren für Kompromittierungen (Indicators of Compromises, IOCs) erstellt.
Erkundung des REF2731 Intrusion Set
Das Team von Elastic Security Labs hat REF2731 verfolgt, ein 5-stufiges Intrusion-Set, an dem der PARALLAX-Loader und der NETWIRE RAT beteiligt sind.
BUGHATCH Malware-Analyse
Elastic Security hat eine gründliche technische Analyse der BUGHATCH-Malware durchgeführt. Dazu gehören sowohl Fähigkeiten als auch defensive Gegenmaßnahmen.
Elastic schützt vor Datenlöscher-Malware, die es auf die Ukraine abgesehen hat: HERMETICWIPER
Analyse der Malware HERMETICWIPER, die auf ukrainische Organisationen abzielt.
Von Küste zu Küste – Der Weg zur Spitze der Pyramide mit dem Deimos-Implantat
Das Deimos-Implantat wurde erstmals im 2020 vorgestellt und befindet sich in aktiver Entwicklung. Einsatz fortschrittlicher Analyse-Gegenmaßnahmen, um die Analyse zu vereiteln. In diesem Beitrag werden die TTPs der Kampagne anhand der Malware-Indikatoren detailliert beschrieben.