Tema
Análisis de malware
Outlaw is a persistent Linux malware leveraging simple brute-force and mining tactics to maintain a long-lasting botnet.
The Shelby Strategy
An analysis of REF8685's abuse of GitHub for C2 to evade defenses.
Shedding light on the ABYSSWORKER driver
Elastic Security Labs describes ABYSSWORKER, a malicious driver used with the MEDUSA ransomware attack-chain to disable anti-malware tools.
You've Got Malware: FINALDRAFT Hides in Your Drafts
Durante una investigación reciente (REF7707), Elastic Security Labs descubrió nuevo malware dirigido a un Ministerio de Relaciones Exteriores. El malware incluye un cargador personalizado y una puerta trasera con muchas características, incluido el uso de la API Graph de Microsoft para comunicaciones C2.
Bajo el SADBRIDGE con GOSAR: QUASAR recibe una reescritura en Golang
Elastic Security Labs comparte detalles sobre el cargador SADBRIDGE y la puerta trasera GOSAR, malware empleado en campañas dirigidas a víctimas de habla china.
Desgarrando PUMAKIT
PUMAKIT es un sofisticado rootkit de módulo de kernel cargable (LKM) que emplea mecanismos avanzados de sigilo para ocultar su presencia y mantener la comunicación con los servidores de comando y control.
Katz and Mouse Game: MaaS Infostealers Adapt to Patched Chrome Defenses
Elastic Security Labs analiza las implementaciones de omisión de la reacción del ecosistema de robo de información al esquema de cifrado vinculado a la aplicación de Chrome 127.
Trucos y tratos: el nuevo engaño a nivel de píxel de GHOSTPULSE
El malware GHOSTPULSE actualizado ha evolucionado para incrustar datos maliciosos directamente en las estructuras de píxeles, lo que dificulta su detección y requiere nuevas técnicas de análisis y detección.
Apostar a los bots: investigar el malware de Linux, la criptominería y el abuso de las API de juegos de azar
La campaña REF6138 incluía criptominería, ataques DDoS y posible blanqueo de dinero a través de API de juegos de azar, lo que pone de relieve el uso por parte de los atacantes de malware en evolución y canales de comunicación sigilosos.
Código de conducta: intrusiones impulsadas por Python de la RPDC en redes seguras
Con la investigación del uso estratégico de Python por parte de la RPDC y la ingeniería social cuidadosamente diseñada, esta publicación arroja luz sobre cómo se violan redes altamente seguras con ataques cibernéticos efectivos y en evolución.
Más allá del lamento: deconstruir el infostealer de BANSHEE
El malware BANSHEE es un infostealer basado en macOS cuyo objetivo es la información del sistema, los datos del navegador y las billeteras de criptomonedas.
BITS y Bytes: Análisis de BITSLOTH, una puerta trasera recientemente identificada
Elastic Security Labs identificó una novedosa puerta trasera de Windows que aprovecha el Background Intelligent Transfer Service (BITS) para C2. Este malware se encontró durante un grupo de actividad reciente rastreado como REF8747.
Sumergir en el peligro: la puerta trasera de WARMCOOKIE
Elastic Security Labs observó que los actores de amenazas se hacían pasar por compañías de reclutamiento para desplegar una nueva puerta trasera de malware llamada WARMCOOKIE. Este malware tiene capacidades de puerta trasera estándar, incluida la captura de capturas de pantalla, la ejecución de malware adicional y la lectura/escritura de archivos.
Ladrones distribuidos globalmente
Este artículo describe nuestro análisis de las principales familias de ladrones de malware, revelando sus metodologías de operación, actualizaciones recientes y configuraciones. Al comprender el modus operandi de cada familia, comprendemos mejor la magnitud de su impacto y podemos fortalecer nuestras defensas en consecuencia.
Limpieza de primavera con LATRODECTUS: un posible sustituto de ICEDID
Elastic Security Labs observó un repunte en un cargador emergente reciente conocido como LATRODECTUS. Esta cargadora liviana tiene un gran impacto con vínculos con ICEDID y puede convertir en un posible reemplazo para llenar el vacío en el mercado de cargadores.
Diseccionando REMCOS RAT: Un análisis en profundidad de un malware 2024 generalizado, cuarta parte
En artículos anteriores de este serial de varias partes, los investigadores de malware del equipo de Elastic Security Labs descompusieron la estructura de configuración de REMCOS y dieron detalles sobre sus comandos C2. En esta parte final, aprenderás más sobre cómo detectar y buscar REMCOS con tecnologías de Elastic.
Diseccionando REMCOS RAT: Un análisis en profundidad de un malware 2024 generalizado, tercera parte
En artículos anteriores de este serial de varias partes, los investigadores de malware del equipo de Elastic Security Labs se sumergieron en el flujo de ejecución de REMCOS. En este artículo, aprenderá más sobre la estructura de configuración de REMCOS y sus comandos C2.
Diseccionando REMCOS RAT: Un análisis en profundidad de un malware 2024 generalizado, segunda parte
En el artículo anterior de este serial sobre el implante REMCOS, compartimos información sobre la ejecución, la persistencia y los mecanismos de evasión de la defensa. Continuando con este serial, cubriremos la segunda mitad de su flujo de ejecución y aprenderá más sobre las capacidades de grabación de REMCOS y la comunicación con su C2.
Diseccionando REMCOS RAT: Un análisis en profundidad de un malware 2024 generalizado, primera parte
Este artículo de investigación sobre malware describe el implante REMCOS a un alto nivel y proporciona antecedentes para futuros artículos de este serial de varias partes.
Introducción a los aspectos internos de la descompilación de Hex-Rays
En esta publicación, profundizamos en el microcódigo de Hex-Rays y exploramos técnicas para manipular el CTree generado para desofuscar y anotar el código descompilado.
Poner pegajoso con GULOADER: desofuscando el descargador
Elastic Security Labs repasa las contramedidas de análisis de GULOADER actualizadas.
El elástico atrapa a la RPDC y desmaya a KANDYKORN
Elastic Security Labs expone un intento de la RPDC de infectar a los ingenieros de blockchain con el nuevo malware de macOS.
GHOSTPULSE persigue a las víctimas usando la bolsa de trucos de evasión de defensa
Elastic Security Labs revela detalles de una nueva campaña que aprovecha las capacidades de evasión de defensa para infectar a las víctimas con ejecutables MSIX maliciosos.
Revelando la puerta trasera de BLOODALCHEMY
BLOODALCHEMY es una nueva puerta trasera desarrollada activamente que aprovecha un binario benigno como vehículo de inyección, y es parte del conjunto de intrusión REF5961.
Bailando toda la noche con pipas nombradas - Lanzamiento del cliente de PIPEDANCE
En esta publicación, repasaremos la funcionalidad de esta aplicación cliente y cómo empezar a emplear la herramienta.
Presentación del conjunto de intrusión REF5961
El conjunto de intrusión REF5961 revela tres nuevas familias de malware dirigidas a los afiliados a la ASEAN. El actor de amenazas que aprovecha este conjunto de intrusiones continúa desarrollando y madurando sus capacidades.
Revisitando BLISTER: Nuevo desarrollo del cargador de blíster
Elastic Security Labs profundiza en la evolución reciente de la familia de malware BLISTER loader.
NAPLISTENER: más malos sueños de los desarrolladores de SIESTAGRAPH
Elastic Security Labs observa que la amenaza detrás de SIESTAGRAPH cambió las prioridades del robo de datos al acceso persistente, implementando nuevo malware como NAPLISTENER para evadir la detección.
Respuesta de Elastic a SPECTRALVIPER
Elastic Security Labs descubrió las familias de malware P8LOADER, POWERSEAL y SPECTRALVIPER dirigidas a una agroindustria nacional vietnamita. REF2754 comparte malware y elementos motivacionales de los grupos de actividad REF4322 y APT32.
Elastic Security Labs avanza paso a paso a través del rootkit r77
Elastic Security Labs explora una campaña que aprovecha el rootkit r77 y se observó desplegando el minero de criptomonedas XMRIG. La investigación destaca los diferentes módulos del rootkit y cómo se emplean para implementar cargas maliciosas adicionales.
Elastic Security Labs descubre el malware LOBSHOT
Elastic Security Labs nombra a una nueva familia de malware, LOBSHOT. LOBSHOT se propaga e infiltra en redes específicas a través de sesiones de Google Ads y hVNC para implementar puertas traseras que se hacen pasar por instaladores de aplicaciones legítimos.
Usuarios de Elastic protegidos del ataque a la cadena de suministro de SUDDENICON
Elastic Security Labs está lanzando un análisis de triaje para ayudar a los clientes de 3CX en la detección inicial de SUDDENICON, un posible compromiso de la cadena de suministro que afecta a los usuarios de softphone VOIP de 3CX.
Cargador de blíster
El cargador BLISTER se sigue empleando activamente para cargar una variedad de malware.
La cadena de ataque conduce a XWORM y AGENTTESLA
Nuestro equipo observó recientemente una nueva campaña de malware que emplea un proceso bien desarrollado con múltiples etapas. La campaña está diseñada para engañar a los usuarios desprevenidos para que hagan clic en los documentos, que parecen ser legítimos.
Ya no se duerme: la llamada de atención de SOMNIRECORD
Los investigadores de Elastic Security Labs identificaron una nueva familia de malware escrita en C++ a la que nos referimos como SOMNIRECORD. Este malware funciona como una puerta trasera y se comunica con comando y control (C2) mientras se hace pasar por DNS.
Deshielo del permafrost de ICEDID Resumen
Elastic Security Labs analizó una variante reciente de ICEDID que consta de un cargador y una carga útil de bot. Al proporcionar esta investigación a la comunidad de principio a fin, esperamos crear conciencia sobre la cadena de ejecución, las capacidades y el diseño de ICEDID.
Dos vueltas alrededor de la pista de baile - Elastic descubre la puerta trasera de PIPEDANCE
Elastic Security Labs está rastreando una intrusión activa en una organización vietnamita mediante una puerta trasera multisalto que se puede activar recientemente y que llamamos PIPEDANCE. Este malware con todas las funciones permite operaciones sigilosas mediante el uso de
Análisis de malware CUBA Ransomware
Elastic Security realizó un análisis técnico profundo de la familia de ransomware CUBA. Esto incluye capacidades de malware, así como contramedidas defensivas.
Análisis de malware QBOT
Elastic Security Labs publica un reporte de análisis de malware QBOT que cubre la cadena de ejecución. A partir de esta investigación, el equipo produjo una regla YARA, un extractor de configuración e indicadores de compromisos (IOC).
Explorando el conjunto de intrusiones REF2731
El equipo de Elastic Security Labs estuvo rastreando REF2731, un conjunto de intrusiones de 5 etapas que involucra al cargador PARALLAX y al NETWIRE RAT.
Análisis de malware de BUGHATCH
Elastic Security realizó un análisis técnico profundo del malware BUGHATCH. Esto incluye capacidades, así como contramedidas defensivas.
Elastic protege contra el malware de borrado de datos dirigido a Ucrania: HERMETICWIPER
Análisis del malware HERMETICWIPER dirigido a organizaciones ucranianas.
De costa a costa: escalando la pirámide con el implante Deimos
El implante Deimos se informó por primera vez en 2020 y estuvo en desarrollo activo; Emplear contramedidas de análisis avanzadas para frustrar el análisis. En este post se detallan las TTPs de la campaña a través de los indicadores de malware.