Kategorie

Malware-Analyse

The updated GHOSTPULSE malware has evolved to embed malicious data directly within pixel structures, making it harder to detect and requiring new analysis and detection techniques.

Platzhalterbild
Wetten auf Bots: Untersuchung von Linux-Malware, Krypto-Mining und Missbrauch von Glücksspiel-APIs

Wetten auf Bots: Untersuchung von Linux-Malware, Krypto-Mining und Missbrauch von Glücksspiel-APIs

Die Kampagne REF6138 beinhaltete Kryptomining, DDoS-Angriffe und potenzielle Geldwäsche über Glücksspiel-APIs und verdeutlichte den Einsatz sich ständig weiterentwickelnder Malware und versteckter Kommunikationskanäle durch die Angreifer.

Verhaltenskodex: Mit Python betriebene Einbrüche der Demokratischen Volksrepublik Korea in gesicherte Netzwerke

Verhaltenskodex: Mit Python betriebene Einbrüche der Demokratischen Volksrepublik Korea in gesicherte Netzwerke

Diese Publikation untersucht den strategischen Einsatz von Python und sorgfältig ausgearbeitetem Social Engineering durch die Demokratische Volksrepublik Korea und beleuchtet, wie sie mit immer neuen und effektiven Cyberangriffen in hochsichere Netzwerke einbricht.

Jenseits des Gejammers: Die Dekonstruktion des BANSHEE-Infostealers

Jenseits des Gejammers: Die Dekonstruktion des BANSHEE-Infostealers

Die BANSHEE-Malware ist ein macOS-basierter Infostealer, der auf Systeminformationen, Browserdaten und Kryptowährungs-Wallets abzielt.

BITS und Bytes: Analyse von BITSLOTH, einer neu identifizierten Hintertür

BITS und Bytes: Analyse von BITSLOTH, einer neu identifizierten Hintertür

Elastic Security Labs hat eine neuartige Windows-Hintertür identifiziert, die den Background Intelligent Transfer Service (BITS) für C2 nutzt. Diese Malware wurde während einer kürzlichen Aktivität der Gruppe gefunden, die als REF8747 verfolgt wurde.

Eintauchen in die Gefahr: Die WARMCOOKIE-Hintertür

Eintauchen in die Gefahr: Die WARMCOOKIE-Hintertür

Elastic Security Labs beobachtete Bedrohungsakteure, die sich als Personalvermittlungsfirmen ausgaben, um eine neue Malware-Hintertür namens WARMCOOKIE einzusetzen. Diese Malware verfügt über standardmäßige Backdoor-Funktionen, einschließlich des Aufnehmens von Screenshots, des Ausführens zusätzlicher Malware und des Lesens/Schreibens von Dateien.

Global verteilte Stealer

Global verteilte Stealer

In diesem Artikel wird unsere Analyse der wichtigsten Malware-Stealer-Familien beschrieben und deren Betriebsmethoden, aktuelle Updates und Konfigurationen vorgestellt. Wenn wir den Modus Operandi jeder Familie verstehen, können wir das Ausmaß ihrer Auswirkungen besser verstehen und unsere Abwehrkräfte entsprechend stärken.

Frühjahrsputz mit LATRODECTUS: Ein potenzieller Ersatz für ICEDID

Frühjahrsputz mit LATRODECTUS: Ein potenzieller Ersatz für ICEDID

Elastic Security Labs hat einen Aufwärtstrend bei einem kürzlich aufkommenden Loader namens LATRODECTUS beobachtet. Dieser leichte Lader hat es in sich, wenn er mit ICEDID verbunden ist, und könnte sich als möglicher Ersatz erweisen, um die Lücke auf dem Ladermarkt zu schließen.

Analyse von REMCOS RAT: Eine eingehende Analyse einer weit verbreiteten 2024 Malware, Teil vier

Analyse von REMCOS RAT: Eine eingehende Analyse einer weit verbreiteten 2024 Malware, Teil vier

In früheren Artikeln dieser mehrteiligen Serie haben Malware-Forscher des Elastic Security Labs-Teams die REMCOS-Konfigurationsstruktur zerlegt und Details zu den C2-Befehlen gegeben. In diesem letzten Teil erfahren Sie mehr über das Erkennen und Aufspüren von REMCOS mithilfe von Elastic-Technologien.

Analyse von REMCOS RAT: Eine eingehende Analyse einer weit verbreiteten 2024 Malware, Teil drei

Analyse von REMCOS RAT: Eine eingehende Analyse einer weit verbreiteten 2024 Malware, Teil drei

In früheren Artikeln dieser mehrteiligen Serie haben sich Malware-Forscher des Elastic Security Labs-Teams mit dem REMCOS-Ausführungsablauf befasst. In diesem Artikel erfahren Sie mehr über die REMCOS-Konfigurationsstruktur und ihre C2-Befehle.

REMCOS RAT analysieren: Eine eingehende Analyse einer weit verbreiteten 2024 Malware, Teil Zwei

REMCOS RAT analysieren: Eine eingehende Analyse einer weit verbreiteten 2024 Malware, Teil Zwei

Im vorherigen Artikel dieser Serie über das REMCOS-Implantat haben wir Informationen über Ausführungs-, Persistenz- und Abwehrumgehungsmechanismen geteilt. In Fortsetzung dieser Serie behandeln wir die zweite Hälfte des Ausführungsablaufs und Sie erfahren mehr über die Aufnahmefunktionen von REMCOS und die Kommunikation mit dem C2.

REMCOS RAT analysieren: Eine eingehende Analyse einer weit verbreiteten 2024 Malware, Teil Eins

REMCOS RAT analysieren: Eine eingehende Analyse einer weit verbreiteten 2024 Malware, Teil Eins

Dieser Artikel zur Malware-Forschung beschreibt das REMCOS-Implantat auf hohem Niveau und bietet Hintergrundinformationen für zukünftige Artikel in dieser mehrteiligen Serie.

Einführung in die Interna der Hex-Rays-Dekompilierung

Einführung in die Interna der Hex-Rays-Dekompilierung

In dieser Veröffentlichung befassen wir uns mit dem Hex-Rays-Mikrocode und untersuchen Techniken zur Manipulation des generierten CTree, um dekompilierten Code zu entschleiern und zu kommentieren.

Mit GULOADER klebrig werden: Entschleierung des Downloaders

Mit GULOADER klebrig werden: Entschleierung des Downloaders

Elastic Security Labs führt Sie durch die aktualisierten Gegenmaßnahmen für die GULOADER-Analyse.

Elastic fängt DVRK beim Verteilen von KANDYKORN auf

Elastic fängt DVRK beim Verteilen von KANDYKORN auf

Elastic Security Labs deckt einen Versuch der DVRK auf, Blockchain-Ingenieure mit neuartiger macOS-Malware zu infizieren.

GHOSTPULSE verfolgt Opfer mit Tricks zur Umgehung der Verteidigung

GHOSTPULSE verfolgt Opfer mit Tricks zur Umgehung der Verteidigung

Elastic Security Labs enthüllt Details zu einer neuen Kampagne, die Funktionen zur Umgehung der Verteidigung nutzt, um Opfer mit bösartigen ausführbaren MSIX-Dateien zu infizieren.

Enthüllung der BLOODALCHEMY-Hintertür

Enthüllung der BLOODALCHEMY-Hintertür

BLOODALCHEMY ist eine neue, aktiv entwickelte Hintertür, die eine gutartige Binärdatei als Einspritzvehikel nutzt und Teil des REF5961 Intrusion-Sets ist.

Tanzen Sie die ganze Nacht durch mit Named Pipes - PIPEDANCE Client Release

Tanzen Sie die ganze Nacht durch mit Named Pipes - PIPEDANCE Client Release

In dieser Veröffentlichung werden die Funktionen dieser Clientanwendung und die ersten Schritte mit dem Tool erläutert.

Wir stellen vor: Das REF5961 Einbruchsset

Wir stellen vor: Das REF5961 Einbruchsset

Das REF5961 Intrusion Set enthüllt drei neue Malware-Familien, die auf ASEAN-Mitglieder abzielen. Der Bedrohungsakteur, der diese Intrusion-Suite nutzt, entwickelt seine Fähigkeiten weiter und reift weiter.

Revisiting BLISTER: Neuentwicklung des BLISTER-Laders

Revisiting BLISTER: Neuentwicklung des BLISTER-Laders

Elastic Security Labs befasst sich eingehend mit der jüngsten Entwicklung der BLISTER-Loader-Malware-Familie.

NAPLISTENER: Noch mehr böse Träume von den Entwicklern von SIESTAGRAPH

NAPLISTENER: Noch mehr böse Träume von den Entwicklern von SIESTAGRAPH

Elastic Security Labs stellt fest, dass die Bedrohung hinter SIESTAGRAPH ihre Prioritäten vom Datendiebstahl hin zum dauerhaften Zugriff verlagert hat und neue Malware wie NAPLISTENER einsetzt, um der Erkennung zu entgehen.

Elastische Anhänger SPECTRALVIPER

Elastische Anhänger SPECTRALVIPER

Elastic Security Labs hat die Malware-Familien P8LOADER, POWERSEAL und SPECTRALVIPER entdeckt, die auf ein nationales vietnamesisches Agrarunternehmen abzielen. REF2754 hat die gleichen Malware- und Motivationselemente wie die Aktivitätsgruppen REF4322 und APT32.

Elastic Security Labs führt Schritte durch das r77-Rootkit durch

Elastic Security Labs führt Schritte durch das r77-Rootkit durch

Elastic Security Labs untersucht eine Kampagne, die das r77-Rootkit nutzt, und wurde beim Einsatz des XMRIG-Krypto-Miners beobachtet. Die Studie beleuchtet die verschiedenen Module des Rootkits und wie sie verwendet werden, um zusätzliche bösartige Nutzlasten bereitzustellen.

Elastic Security Labs entdeckt die LOBSHOT-Malware

Elastic Security Labs entdeckt die LOBSHOT-Malware

Elastic Security Labs gibt einer neuen Malware-Familie den Namen LOBSHOT. LOBSHOT verbreitet und infiltriert Zielnetzwerke über Google Ads- und hVNC-Sitzungen, um Hintertüren einzusetzen, die sich als legitime Anwendungsinstallationsprogramme ausgeben.

Elastic-Benutzer vor dem Supply-Chain-Angriff von SUDDENDICON geschützt

Elastic-Benutzer vor dem Supply-Chain-Angriff von SUDDENDICON geschützt

Elastic Security Labs veröffentlicht eine Triage-Analyse, um 3CX-Kunden bei der ersten Erkennung von SUDDDICON zu unterstützen, einer potenziellen Kompromittierung der Lieferkette, die Benutzer von 3CX VOIP-Softphones betrifft.

BLISTER-Lader

BLISTER-Lader

Der BLISTER-Loader wird nach wie vor aktiv genutzt, um eine Vielzahl von Malware zu laden.

Angriffskette führt zu XWORM und AGENTTESLA

Angriffskette führt zu XWORM und AGENTTESLA

Unser Team hat kürzlich eine neue Malware-Kampagne beobachtet, die einen gut entwickelten Prozess mit mehreren Stufen verwendet. Die Kampagne soll ahnungslose Nutzer dazu verleiten, auf die Dokumente zu klicken, die legitim erscheinen.

Nicht mehr schlafen: Der Weckruf von SOMNIRECORD

Nicht mehr schlafen: Der Weckruf von SOMNIRECORD

Forscher der Elastic Security Labs haben eine neue, in C++ geschriebene Malware-Familie identifiziert, die wir als SOMNIRECORD bezeichnen. Diese Malware fungiert als Hintertür und kommuniziert mit Command and Control (C2), während sie sich als DNS tarnt.

Auftauen des Permafrosts von ICEDID Zusammenfassung

Auftauen des Permafrosts von ICEDID Zusammenfassung

Elastic Security Labs analysierte eine aktuelle ICEDID-Variante, die aus einem Loader und einer Bot-Nutzlast besteht. Indem wir diese Forschung der Community durchgängig zur Verfügung stellen, hoffen wir, das Bewusstsein für die Ausführungskette, die Fähigkeiten und das Design von ICEDID zu schärfen.

Zweimal um die Tanzfläche - Elastic entdeckt die PIPEDANCE Hintertür

Zweimal um die Tanzfläche - Elastic entdeckt die PIPEDANCE Hintertür

Elastic Security Labs verfolgt ein aktives Eindringen in ein vietnamesisches Unternehmen mithilfe einer kürzlich entdeckten triggerbaren Multi-Hop-Backdoor, die wir PIPEDANCE nennen. Diese voll funktionsfähige Malware ermöglicht heimliche Operationen durch die Verwendung von benannten

CUBA Ransomware Malware-Analyse

CUBA Ransomware Malware-Analyse

Elastic Security hat eine gründliche technische Analyse der CUBA Ransomware-Familie durchgeführt. Dazu gehören sowohl Malware-Fähigkeiten als auch defensive Gegenmaßnahmen.

QBOT Malware-Analyse

QBOT Malware-Analyse

Elastic Security Labs veröffentlicht einen QBOT-Malware-Analysebericht, der die Ausführungskette abdeckt. Aus dieser Forschung hat das Team eine YARA-Regel, einen Konfigurationsextraktor und Indikatoren für Kompromittierungen (Indicators of Compromises, IOCs) erstellt.

Erkundung des REF2731 Intrusion Set

Erkundung des REF2731 Intrusion Set

Das Team von Elastic Security Labs hat REF2731 verfolgt, ein 5-stufiges Intrusion-Set, an dem der PARALLAX-Loader und der NETWIRE RAT beteiligt sind.

BUGHATCH Malware-Analyse

BUGHATCH Malware-Analyse

Elastic Security hat eine gründliche technische Analyse der BUGHATCH-Malware durchgeführt. Dazu gehören sowohl Fähigkeiten als auch defensive Gegenmaßnahmen.

Elastic schützt vor Datenlöscher-Malware, die es auf die Ukraine abgesehen hat: HERMETICWIPER

Elastic schützt vor Datenlöscher-Malware, die es auf die Ukraine abgesehen hat: HERMETICWIPER

Analyse der Malware HERMETICWIPER, die auf ukrainische Organisationen abzielt.

Von Küste zu Küste – Der Weg zur Spitze der Pyramide mit dem Deimos-Implantat

Von Küste zu Küste – Der Weg zur Spitze der Pyramide mit dem Deimos-Implantat

Das Deimos-Implantat wurde erstmals im 2020 vorgestellt und befindet sich in aktiver Entwicklung. Einsatz fortschrittlicher Analyse-Gegenmaßnahmen, um die Analyse zu vereiteln. In diesem Beitrag werden die TTPs der Kampagne anhand der Malware-Indikatoren detailliert beschrieben.