18 Juni 2022 - Blog Post # 831
Matanbuchus
Det er den
nye trojan downloader man skal være lidt opmærksom på. Der
ligger en pæn stor infrastruktur bag denne, og de sidste domæner
blev første aktive sent i går aftes, hvorfra Cobolt strike hentes.
Det bliver nok noget man skal holde lidt øje med. Det er ikke noget
der kan testes i vm, viratuelle miljøer osv, da den tjekker hvordan
CPU opsætningen er. Lidt smart.... Der er mange nye metodikker i
forbindelse med Matanbuchus.
Unit42 har nok det bedste skriv indtil videre jeg kan anbefale
man læser igennem. Desuden har
SANS et skriv også. Man skal også være opmærksom på at den
allerede nu skifter metodikker, meget hurtigt, jeg har allerede selv
set flere udformninger af denne.
Navnet Matanbuchus er
direkte
henvisning til den okkulte verden. Men tiden må vise hvor
okkulte de i virkeligheden er. Den slags hovmod har det med at
falde...
IOC'er
Jeg har samlet en
liste af domæner man med fordel lige nu kan blokerer for. Der
findes desuden mange andre IOS'er man kan kigge igennem.
IDS Rule frigivet
Kigger på den aktuelle kampange. Det kan meget vel ændre sig og jeg
ved der allerede nu findes flere IDS rules der kan laves.
14 Juni 2022 - Blog Post # 830
Bumblebee malware downloader
Det er desværre noget jeg ser blive hyppigt benyttet.
Bumblebee er en malware downloader, man ofte ser i forbindelse
med forskellige typer malware som, Emotet, CoboltStrike, RedLine
Stealer, Conti, IcedID og mange flere. Det er blevet lidt en
standard, at det bruges, men det gør det jo også lidt nemt finde
inficeret hosts...
SNORT Rule Frigivet
Kigger efter typisk certifikate der benyttes af Bumblebee. Det er
klart anbefalet at undersøge hosts hvor denne IDS rule giver alerts.
NF IDS Rules
10 Latest Updates
CoboltStrike
DarkVNC
Vidar Trojan
Matanbuchus
Matanbuchus
Bumblebee
downloader
Industroyer2 - On
Industroyer2 - Off
Metastealer
Generic RTLO
detection
Download