Digitale Forensik
Im Rahmen eines Einsatzes zur Incident Response identifizierte das SECUINFRA Falcon Team eine interessante Malware-Probe mit dem Codenamen „CommieLoader“, die sich als Bewerbungsformular tarnt.
CommieLoader installierte einen Cobalt Strike Beacon, der vom Angreifer für die Command-and-Control-Kommunikation genutzt wurde
Im März 2026 wurde in Adobe Reader ein bislang unbekannter Zero-Day-Exploit entdeckt, der mithilfe eines speziell manipulierten PDF-Dokuments aktiv ausgenutzt wird. Aufbauend auf den ersten Erkenntnissen des Sicherheitsforschers Haifei Li bietet dieser Artikel eine detaillierte Analyse der technischen Struktur und Funktionsweise der schädlichen PDF-Datei. Er deckt eine stark verschleierte Angriffskette auf, die sich durch ausgefeilte Verschleierungstechniken, Fingerprinting-Mechanismen und eine ungewöhnliche Command-and-Control-Kommunikation über RSS-Feeds auszeichnet.
In einem aktuellen Fall haben wir versucht, die Aktivitäten des Angreifers auf einem ESXi-Hypervisor zu rekonstruieren. Die auf dem System verfügbaren Protokolle waren sehr begrenzt, was die Analyse der Aktivitäten des Angreifers erschwerte. Gerade der ESXi-Hypervisor bietet detaillierte Protokolle, die bei entsprechender Konfiguration für die forensische Analyse genutzt werden können. Das Thema der Forensic Readiness im Allgemeinen wurde in einem früheren Artikel behandelt, dessen Lektüre sehr zu empfehlen ist. Dieser Artikel konzentriert sich auf Hypervisoren, die Risiken, denen sie ausgesetzt sind, und wie man sie schützen kann.
Forensic Readiness bezeichnet den Zustand eines Unternehmens, Digitale Forensik effizient durchführen zu können. Jeder Incident stellt für alle Beteiligten eine Stresssituation dar. Durch einen hohen Reifegrad in der Forensic Readiness kann die Analysezeit von Incidents verkürzt und die Qualität der Aussagen über den Incident erhöht werden.
Um monetäre und reputative Schäden im Falle eines erfolgreichen IT-Sicherheitsangriffs so gering wie möglich zu halten, sind sofortige und korrekte Reaktionsmaßnahmen, der umfassende Überblick über das Ausmaß des Cyberangriffes sowie die umfassende Aufklärung des Vorfalls unverzichtbar.
Wir beginnen mit dem Einstiegspunkt dieses RATs und analysieren seinen ausgeführten Code, bevor wir alle möglichen Module dieses RATs untersuchen.
Die registrierte Anzahl von IT-Sicherheitsvorfällen als eine Folge der rasanten Entwicklung neuer und angepasster Cyber-Angriffsmethoden ist besorgniserregend - und kann teilweise gravierende finanzielle Folgen sowie Reputationsschäden für Unternehmen nach sich ziehen.
Laut Malware Bazaar werden Samples seit ca. Mitte Januar verbreitet. Der finale Payload ist ein .NET RAT, welcher dem Angreifer die Möglichkeit gibt, Befehle an das infizierte System zu senden.
Dieser Artikel soll einen tieferen Einblick in das wichtige Thema Meldepflichten bei einem IT-Sicherheitsvorfall geben.
Um das eigene Unternehmen vor Phishing zu schützen, muss in erster Linie das Bewusstsein unter den Mitarbeiten geschaffen werden. Dies kann über Workshops, Phishing Simulation oder Unternehmens Policys geschehen.