Networkforensic

Threat hunting

Matanbuchus downloader

 18 Juni 2022  - Blog Post # 831

Matanbuchus
Det er den nye trojan downloader man skal være lidt opmærksom på. Der ligger en pæn stor infrastruktur bag denne, og de sidste domæner blev første aktive sent i går aftes, hvorfra Cobolt strike hentes. Det bliver nok noget man skal holde lidt øje med. Det er ikke noget der kan testes i vm, viratuelle miljøer osv, da den tjekker hvordan CPU opsætningen er. Lidt smart.... Der er mange nye metodikker i forbindelse med Matanbuchus. Unit42 har nok det bedste skriv indtil videre jeg kan anbefale man læser igennem. Desuden har SANS et skriv også. Man skal også være opmærksom på at den allerede nu skifter metodikker, meget hurtigt, jeg har allerede selv set flere udformninger af denne.

Navnet Matanbuchus er direkte henvisning til den okkulte verden. Men tiden må vise hvor okkulte de i virkeligheden er. Den slags hovmod har det med at falde...

IOC'er
Jeg har samlet en liste af domæner man med fordel lige nu kan blokerer for. Der findes desuden mange andre IOS'er man kan kigge igennem.

IDS Rule frigivet
Kigger på den aktuelle kampange. Det kan meget vel ændre sig og jeg ved der allerede nu findes flere IDS rules der kan laves.

 

Bumblebee Malware Downloader

 14 Juni 2022  - Blog Post # 830

Bumblebee malware downloader
Det er desværre noget jeg ser blive hyppigt benyttet. Bumblebee er en malware downloader, man ofte ser i forbindelse med forskellige typer malware som, Emotet, CoboltStrike, RedLine Stealer, Conti, IcedID og mange flere. Det er blevet lidt en standard, at det bruges, men det gør det jo også lidt nemt finde inficeret hosts...

SNORT Rule Frigivet
Kigger efter typisk certifikate der benyttes af Bumblebee. Det er klart anbefalet at undersøge hosts hvor denne IDS rule giver alerts.

 NF IDS Rules
10 Latest Updates

CoboltStrike

DarkVNC

Vidar Trojan

Matanbuchus

Matanbuchus

Bumblebee downloader

Industroyer2 - On

Industroyer2 - Off

Metastealer

Generic RTLO detection


Download