Ruleset Update Summary - 2024/10/07 - v10715

Ruleset Updates
1

Summary:

41 new OPEN, 67 new PRO (41 + 26)

Please be aware that Friday, October 11th, is a Proofpoint company holiday. There will not be a rule release that day. Rule releases will continue the following Monday, October 14th.

Added rules:

Open:

  • 2056498 - ET MALWARE CeranaKeeper BingoShell Activity (Create Github Ref) (malware.rules)
  • 2056499 - ET MALWARE CeranaKeeper BingoShell Activity (Create Github File) (malware.rules)
  • 2056500 - ET MALWARE CeranaKeeper BingoShell Activity (Create Github Pull) (malware.rules)
  • 2056501 - ET EXPLOIT PHP Arbitrary Object Instantiation - ImageMagick MSL File Descriptor RCE (exploit.rules)
  • 2056502 - ET MALWARE Win32/Lumma Stealer Related CnC Domain in DNS Lookup (bemuzzeki .sbs) (malware.rules)
  • 2056503 - ET MALWARE Observed Win32/Lumma Stealer Related Domain (bemuzzeki .sbs in TLS SNI) (malware.rules)
  • 2056504 - ET MALWARE Win32/Lumma Stealer Related CnC Domain in DNS Lookup (crusthdisow .store) (malware.rules)
  • 2056505 - ET MALWARE Observed Win32/Lumma Stealer Related Domain (crusthdisow .store in TLS SNI) (malware.rules)
  • 2056506 - ET MALWARE Win32/Lumma Stealer Related CnC Domain in DNS Lookup (diliggentyj .buzz) (malware.rules)
  • 2056507 - ET MALWARE Observed Win32/Lumma Stealer Related Domain (diliggentyj .buzz in TLS SNI) (malware.rules)
  • 2056508 - ET MALWARE Win32/Lumma Stealer Related CnC Domain in DNS Lookup (ejectyflay .store) (malware.rules)
  • 2056509 - ET MALWARE Observed Win32/Lumma Stealer Related Domain (ejectyflay .store in TLS SNI) (malware.rules)
  • 2056510 - ET MALWARE Win32/Lumma Stealer Related CnC Domain in DNS Lookup (exemplarou .sbs) (malware.rules)
  • 2056511 - ET MALWARE Observed Win32/Lumma Stealer Related Domain (exemplarou .sbs in TLS SNI) (malware.rules)
  • 2056512 - ET MALWARE Win32/Lumma Stealer Related CnC Domain in DNS Lookup (exilepolsiy .sbs) (malware.rules)
  • 2056513 - ET MALWARE Observed Win32/Lumma Stealer Related Domain (exilepolsiy .sbs in TLS SNI) (malware.rules)
  • 2056514 - ET MALWARE Win32/Lumma Stealer Related CnC Domain in DNS Lookup (frizzettei .sbs) (malware.rules)
  • 2056515 - ET MALWARE Observed Win32/Lumma Stealer Related Domain (frizzettei .sbs in TLS SNI) (malware.rules)
  • 2056516 - ET MALWARE Win32/Lumma Stealer Related CnC Domain in DNS Lookup (invinjurhey .sbs) (malware.rules)
  • 2056517 - ET MALWARE Observed Win32/Lumma Stealer Related Domain (invinjurhey .sbs in TLS SNI) (malware.rules)
  • 2056518 - ET MALWARE Win32/Lumma Stealer Related CnC Domain in DNS Lookup (isoplethui .sbs) (malware.rules)
  • 2056519 - ET MALWARE Observed Win32/Lumma Stealer Related Domain (isoplethui .sbs in TLS SNI) (malware.rules)
  • 2056520 - ET MALWARE Win32/Lumma Stealer Related CnC Domain in DNS Lookup (laddyirekyi .sbs) (malware.rules)
  • 2056521 - ET MALWARE Observed Win32/Lumma Stealer Related Domain (laddyirekyi .sbs in TLS SNI) (malware.rules)
  • 2056522 - ET MALWARE Win32/Lumma Stealer Related CnC Domain in DNS Lookup (meritdiveu .site) (malware.rules)
  • 2056523 - ET MALWARE Observed Win32/Lumma Stealer Related Domain (meritdiveu .site in TLS SNI) (malware.rules)
  • 2056524 - ET MALWARE Win32/Lumma Stealer Related CnC Domain in DNS Lookup (wickedneatr .sbs) (malware.rules)
  • 2056525 - ET MALWARE Observed Win32/Lumma Stealer Related Domain (wickedneatr .sbs in TLS SNI) (malware.rules)
  • 2056526 - ET EXPLOIT PHP Arbitrary Object Instantiation RCE - ImageMagick MSL VID Scheme (exploit.rules)
  • 2056527 - ET EXPLOIT_KIT ZPHP Domain in DNS Lookup (souguru .com) (exploit_kit.rules)
  • 2056528 - ET EXPLOIT_KIT ZPHP Domain in DNS Lookup (robotprintmoney .com) (exploit_kit.rules)
  • 2056529 - ET EXPLOIT_KIT ZPHP Domain in DNS Lookup (tratoragricola .com) (exploit_kit.rules)
  • 2056530 - ET INFO Observed External IP Lookup Domain in DNS Lookup (myip .wtf) (info.rules)
  • 2056531 - ET INFO Observed External IP Loopkup Domain (myip .wtf in TLS SNI) (info.rules)
  • 2056532 - ET EXPLOIT_KIT ZPHP Domain in TLS SNI (souguru .com) (exploit_kit.rules)
  • 2056533 - ET EXPLOIT_KIT ZPHP Domain in TLS SNI (robotprintmoney .com) (exploit_kit.rules)
  • 2056534 - ET EXPLOIT_KIT ZPHP Domain in TLS SNI (tratoragricola .com) (exploit_kit.rules)
  • 2056535 - ET EXPLOIT_KIT LandUpdate808 Domain in DNS Lookup (pushcg .com) (exploit_kit.rules)
  • 2056536 - ET EXPLOIT_KIT LandUpdate808 Domain in TLS SNI (pushcg .com) (exploit_kit.rules)
  • 2056537 - ET MALWARE Havoc Demon CnC Domain in DNS Lookup (ukrtatnafta .org) (malware.rules)
  • 2056538 - ET MALWARE Observed Havoc Demon Domain (ukrtatnafta .org in TLS SNI) (malware.rules)

Pro:

  • 2858612 - ETPRO MALWARE Win32/XWorm V3 CnC Command - PING Outbound (malware.rules)
  • 2858613 - ETPRO MALWARE Win32/XWorm V3 CnC Command - PING Outbound (malware.rules)
  • 2858614 - ETPRO MALWARE Win32/XWorm V2 CnC Command - RD+ Outbound (malware.rules)
  • 2858615 - ETPRO MALWARE Win32/XWorm V2 CnC Command - sendfileto Inbound (malware.rules)
  • 2858616 - ETPRO MALWARE Win32/XWorm V3 CnC Command - sendPlugin Outbound (malware.rules)
  • 2858617 - ETPRO MALWARE Win32/XWorm V3 CnC Command - savePlugin Inbound (malware.rules)
  • 2858618 - ETPRO MALWARE Win32/XWorm V3 CnC Command - Informations Outbound (malware.rules)
  • 2858619 - ETPRO MALWARE Win32/XWorm V3 CnC Command - GetInformations Outbound (malware.rules)
  • 2858620 - ETPRO MALWARE Win32/XWorm V2 CnC Command - PING Outbound (malware.rules)
  • 2858621 - ETPRO MALWARE Win32/XWorm V3 CnC Command - PING Outbound (malware.rules)
  • 2858622 - ETPRO MALWARE Win32/XWorm CnC Command - Ping Inbound (malware.rules)
  • 2858623 - ETPRO MALWARE Win32/XWorm V2 CnC Command - RD- Inbound (malware.rules)
  • 2858624 - ETPRO MALWARE Win32/XWorm V3 CnC Command - sendPlugin Outbound (malware.rules)
  • 2858625 - ETPRO MALWARE Win32/XWorm V3 CnC Command - Informations Outbound (malware.rules)
  • 2858626 - ETPRO MALWARE Win32/XWorm V3 CnC Command - GetInformations Inbound (malware.rules)
  • 2858627 - ETPRO MALWARE Win32/XWorm V3 CnC Command - PCShutdown Inbound (malware.rules)
  • 2858628 - ETPRO MALWARE Win32/XWorm V2 CnC Command - PING Outbound (malware.rules)
  • 2858629 - ETPRO MALWARE Win32/XWorm V3 CnC Command - PING Outbound (malware.rules)
  • 2858630 - ETPRO MALWARE Win32/XWorm CnC Command - Ping Inbound (malware.rules)
  • 2858631 - ETPRO MALWARE Win32/XWorm V2 CnC Command - RD- Inbound (malware.rules)
  • 2858632 - ETPRO MALWARE Win32/XWorm V3 CnC Command - sendPlugin Outbound (malware.rules)
  • 2858633 - ETPRO MALWARE Win32/XWorm V3 CnC Command - Informations Outbound (malware.rules)
  • 2858634 - ETPRO MALWARE Win32/XWorm V3 CnC Command - GetInformations Inbound (malware.rules)
  • 2858635 - ETPRO MALWARE Win32/XWorm V3 CnC Command - PCShutdown Inbound (malware.rules)
  • 2858640 - ETPRO MALWARE TA582 Domain in DNS Lookup (malware.rules)
  • 2858641 - ETPRO MALWARE TA582 Domain in DNS Lookup (malware.rules)

Disabled and modified rules:

  • 2050134 - ET EXPLOIT_KIT Balada Domain in DNS Lookup (specialcraftbox .com) (exploit_kit.rules)
  • 2050135 - ET EXPLOIT_KIT Balada Domain in TLS SNI (specialcraftbox .com) (exploit_kit.rules)
  • 2050136 - ET EXPLOIT_KIT Balada Domain in DNS Lookup (colorschemeas .com) (exploit_kit.rules)
  • 2050137 - ET EXPLOIT_KIT Balada Domain in TLS SNI (colorschemeas .com) (exploit_kit.rules)
  • 2050183 - ET EXPLOIT_KIT Balada Domain in DNS Lookup (beatifulllhistory .com) (exploit_kit.rules)
  • 2050184 - ET EXPLOIT_KIT Balada Domain in DNS Lookup (bestselllerservice .com) (exploit_kit.rules)
  • 2050185 - ET EXPLOIT_KIT Balada Domain in DNS Lookup (clickandanalytics .com) (exploit_kit.rules)
  • 2050186 - ET EXPLOIT_KIT Balada Domain in DNS Lookup (listwithstats .com) (exploit_kit.rules)
  • 2050187 - ET EXPLOIT_KIT Balada Domain in DNS Lookup (dataofpages .com) (exploit_kit.rules)
  • 2050188 - ET EXPLOIT_KIT Balada Domain in DNS Lookup (decentralappps .com) (exploit_kit.rules)
  • 2050189 - ET EXPLOIT_KIT Balada Domain in DNS Lookup (getmygateway .com) (exploit_kit.rules)
  • 2050190 - ET EXPLOIT_KIT Balada Domain in DNS Lookup (getsmallcount .com) (exploit_kit.rules)
  • 2050191 - ET EXPLOIT_KIT Balada Domain in DNS Lookup (greenfastline .com) (exploit_kit.rules)
  • 2050192 - ET EXPLOIT_KIT Balada Domain in DNS Lookup (gybritanalytsesystem .com) (exploit_kit.rules)
  • 2050193 - ET EXPLOIT_KIT Balada Domain in DNS Lookup (lineferaline .com) (exploit_kit.rules)
  • 2050194 - ET EXPLOIT_KIT Balada Domain in DNS Lookup (linestoget .com) (exploit_kit.rules)
  • 2050195 - ET EXPLOIT_KIT Balada Domain in DNS Lookup (playerofsunshine .com) (exploit_kit.rules)
  • 2050196 - ET EXPLOIT_KIT Balada Domain in DNS Lookup (promsmotion .com) (exploit_kit.rules)
  • 2050197 - ET EXPLOIT_KIT Balada Domain in DNS Lookup (selectchoise .com) (exploit_kit.rules)
  • 2050198 - ET EXPLOIT_KIT Balada Domain in DNS Lookup (selectofmychoices .com) (exploit_kit.rules)
  • 2050199 - ET EXPLOIT_KIT Balada Domain in DNS Lookup (specialnewspaper .com) (exploit_kit.rules)
  • 2050200 - ET EXPLOIT_KIT Balada Domain in DNS Lookup (specialtaskevents .com) (exploit_kit.rules)
  • 2050201 - ET EXPLOIT_KIT Balada Domain in DNS Lookup (startperfectsolutions .com) (exploit_kit.rules)
  • 2050202 - ET EXPLOIT_KIT Balada Domain in DNS Lookup (statisticplatform .com) (exploit_kit.rules)
  • 2050203 - ET EXPLOIT_KIT Balada Domain in DNS Lookup (statisticscripts .com) (exploit_kit.rules)
  • 2050204 - ET EXPLOIT_KIT Balada Domain in DNS Lookup (statisticsplatform .com) (exploit_kit.rules)
  • 2050205 - ET EXPLOIT_KIT Balada Domain in DNS Lookup (stratosbody .com) (exploit_kit.rules)
  • 2050206 - ET EXPLOIT_KIT Balada Domain in TLS SNI (beatifulllhistory .com) (exploit_kit.rules)
  • 2050207 - ET EXPLOIT_KIT Balada Domain in TLS SNI (bestselllerservice .com) (exploit_kit.rules)
  • 2050208 - ET EXPLOIT_KIT Balada Domain in TLS SNI (clickandanalytics .com) (exploit_kit.rules)
  • 2050209 - ET EXPLOIT_KIT Balada Domain in TLS SNI (compage .listwithstats .com) (exploit_kit.rules)
  • 2050210 - ET EXPLOIT_KIT Balada Domain in TLS SNI (dataofpages .com) (exploit_kit.rules)
  • 2050211 - ET EXPLOIT_KIT Balada Domain in TLS SNI (decentralappps .com) (exploit_kit.rules)
  • 2050212 - ET EXPLOIT_KIT Balada Domain in TLS SNI (getmygateway .com) (exploit_kit.rules)
  • 2050213 - ET EXPLOIT_KIT Balada Domain in TLS SNI (getsmallcount .com) (exploit_kit.rules)
  • 2050214 - ET EXPLOIT_KIT Balada Domain in TLS SNI (greenfastline .com) (exploit_kit.rules)
  • 2050215 - ET EXPLOIT_KIT Balada Domain in TLS SNI (gybritanalytsesystem .com) (exploit_kit.rules)
  • 2050216 - ET EXPLOIT_KIT Balada Domain in TLS SNI (lineferaline .com) (exploit_kit.rules)
  • 2050217 - ET EXPLOIT_KIT Balada Domain in TLS SNI (linestoget .com) (exploit_kit.rules)
  • 2050218 - ET EXPLOIT_KIT Balada Domain in TLS SNI (playerofsunshine .com) (exploit_kit.rules)
  • 2050219 - ET EXPLOIT_KIT Balada Domain in TLS SNI (promsmotion .com) (exploit_kit.rules)
  • 2050220 - ET EXPLOIT_KIT Balada Domain in TLS SNI (selectchoise .com) (exploit_kit.rules)
  • 2050221 - ET EXPLOIT_KIT Balada Domain in TLS SNI (selectofmychoices .com) (exploit_kit.rules)
  • 2050222 - ET EXPLOIT_KIT Balada Domain in TLS SNI (specialnewspaper .com) (exploit_kit.rules)
  • 2050223 - ET EXPLOIT_KIT Balada Domain in TLS SNI (specialtaskevents .com) (exploit_kit.rules)
  • 2050224 - ET EXPLOIT_KIT Balada Domain in TLS SNI (startperfectsolutions .com) (exploit_kit.rules)
  • 2050225 - ET EXPLOIT_KIT Balada Domain in TLS SNI (statisticplatform .com) (exploit_kit.rules)
  • 2050226 - ET EXPLOIT_KIT Balada Domain in TLS SNI (statisticscripts .com) (exploit_kit.rules)
  • 2050227 - ET EXPLOIT_KIT Balada Domain in TLS SNI (statisticsplatform .com) (exploit_kit.rules)
  • 2050228 - ET EXPLOIT_KIT Balada Domain in TLS SNI (stratosbody .com) (exploit_kit.rules)
  • 2050250 - ET EXPLOIT_KIT TA569 Keitaro TDS Domain in DNS Lookup (searchgear .pro) (exploit_kit.rules)
  • 2050251 - ET EXPLOIT_KIT TA569 Keitaro TDS Domain in TLS SNI (searchgear .pro) (exploit_kit.rules)
  • 2050252 - ET EXPLOIT_KIT Balada Domain in DNS Lookup (stablelightway .com) (exploit_kit.rules)
  • 2050253 - ET EXPLOIT_KIT Balada Domain in TLS SNI (stablelightway .com) (exploit_kit.rules)
  • 2050286 - ET EXPLOIT_KIT Balada Domain in DNS Lookup (flyspecialline .com) (exploit_kit.rules)
  • 2050287 - ET EXPLOIT_KIT Balada Domain in TLS SNI (flyspecialline .com) (exploit_kit.rules)
  • 2050504 - ET EXPLOIT_KIT Balada Domain in DNS Lookup (lightsteper .com) (exploit_kit.rules)
  • 2050505 - ET EXPLOIT_KIT Balada Domain in TLS SNI (lightsteper .com) (exploit_kit.rules)
  • 2054697 - ET EXPLOIT_KIT ZPHP Domain in DNS Lookup (novidadesfresquinhas .online) (exploit_kit.rules)
  • 2054698 - ET EXPLOIT_KIT ZPHP Domain in DNS Lookup (nijanse .com) (exploit_kit.rules)
  • 2054699 - ET EXPLOIT_KIT ZPHP Domain in DNS Lookup (canroura .com) (exploit_kit.rules)
  • 2054700 - ET EXPLOIT_KIT ZPHP Domain in DNS Lookup (megasena777 .top) (exploit_kit.rules)
  • 2054701 - ET EXPLOIT_KIT ZPHP Domain in TLS SNI (novidadesfresquinhas .online) (exploit_kit.rules)
  • 2054702 - ET EXPLOIT_KIT ZPHP Domain in TLS SNI (nijanse .com) (exploit_kit.rules)
  • 2054703 - ET EXPLOIT_KIT ZPHP Domain in TLS SNI (canroura .com) (exploit_kit.rules)
  • 2054704 - ET EXPLOIT_KIT ZPHP Domain in TLS SNI (megasena777 .top) (exploit_kit.rules)
  • 2054712 - ET EXPLOIT_KIT ZPHP Domain in DNS Lookup (astronomicspace .com) (exploit_kit.rules)
  • 2054713 - ET EXPLOIT_KIT ZPHP Domain in DNS Lookup (saxymiss .com) (exploit_kit.rules)
  • 2054714 - ET EXPLOIT_KIT ZPHP Domain in TLS SNI (astronomicspace .com) (exploit_kit.rules)
  • 2054715 - ET EXPLOIT_KIT ZPHP Domain in TLS SNI (saxymiss .com) (exploit_kit.rules)
  • 2054718 - ET EXPLOIT_KIT TA569 Keitaro TDS Domain in DNS Lookup (packedbrick .com) (exploit_kit.rules)
  • 2054719 - ET EXPLOIT_KIT TA569 Keitaro TDS Domain in TLS SNI (packedbrick .com) (exploit_kit.rules)
  • 2054753 - ET EXPLOIT_KIT ZPHP Domain in DNS Lookup (saratu .com) (exploit_kit.rules)
  • 2054754 - ET EXPLOIT_KIT ZPHP Domain in DNS Lookup (velellablue .com) (exploit_kit.rules)
  • 2054755 - ET EXPLOIT_KIT ZPHP Domain in TLS SNI (saratu .com) (exploit_kit.rules)
  • 2054756 - ET EXPLOIT_KIT ZPHP Domain in TLS SNI (velellablue .com) (exploit_kit.rules)
  • 2054779 - ET EXPLOIT_KIT ZPHP Domain in DNS Lookup (megabahis664 .com) (exploit_kit.rules)
  • 2054780 - ET EXPLOIT_KIT ZPHP Domain in TLS SNI (megabahis664 .com) (exploit_kit.rules)
  • 2054792 - ET EXPLOIT_KIT ZPHP Domain in DNS Lookup (myanswerpronto .com) (exploit_kit.rules)
  • 2054793 - ET EXPLOIT_KIT ZPHP Domain in TLS SNI (myanswerpronto .com) (exploit_kit.rules)
  • 2054794 - ET EXPLOIT_KIT Balada Domain in DNS Lookup (recordsbluemountain .com) (exploit_kit.rules)
  • 2054795 - ET EXPLOIT_KIT Balada Domain in TLS SNI (recordsbluemountain .com) (exploit_kit.rules)
  • 2054852 - ET EXPLOIT_KIT ClearFake Domain in DNS Lookup (dais7nsa .shop) (exploit_kit.rules)
  • 2054853 - ET EXPLOIT_KIT ClearFake Domain in DNS Lookup (dais7nsa .pics) (exploit_kit.rules)
  • 2054854 - ET EXPLOIT_KIT ClearFake Domain in TLS SNI (dais7nsa .shop) (exploit_kit.rules)
  • 2054855 - ET EXPLOIT_KIT ClearFake Domain in TLS SNI (dais7nsa .pics) (exploit_kit.rules)
  • 2054856 - ET EXPLOIT_KIT ZPHP Domain in DNS Lookup (writeindia .com) (exploit_kit.rules)
  • 2054857 - ET EXPLOIT_KIT ZPHP Domain in DNS Lookup (funnypots .com) (exploit_kit.rules)
  • 2054858 - ET EXPLOIT_KIT ZPHP Domain in DNS Lookup (didsit .com) (exploit_kit.rules)
  • 2054859 - ET EXPLOIT_KIT ZPHP Domain in TLS SNI (writeindia .com) (exploit_kit.rules)
  • 2054860 - ET EXPLOIT_KIT ZPHP Domain in TLS SNI (funnypots .com) (exploit_kit.rules)
  • 2054861 - ET EXPLOIT_KIT ZPHP Domain in TLS SNI (didsit .com) (exploit_kit.rules)
  • 2054862 - ET EXPLOIT_KIT TA569 Middleware Domain in DNS Lookup (blacksaltys .com) (exploit_kit.rules)
  • 2054948 - ET EXPLOIT_KIT ClickFIx Domain in DNS Lookup (peskpdfgif .shop) (exploit_kit.rules)
  • 2054949 - ET EXPLOIT_KIT ClickFix Domain in TLS SNI (peskpdfgif .shop) (exploit_kit.rules)
  • 2055001 - ET EXPLOIT_KIT ZPHP Domain in DNS Lookup (alphawatchrmf .com) (exploit_kit.rules)
  • 2055002 - ET EXPLOIT_KIT ZPHP Domain in TLS SNI (alphawatchrmf .com) (exploit_kit.rules)
  • 2055072 - ET EXPLOIT_KIT ZPHP Domain in DNS Lookup (barelytherejewels .com) (exploit_kit.rules)
  • 2055073 - ET EXPLOIT_KIT ZPHP Domain in TLS SNI (barelytherejewels .com) (exploit_kit.rules)
  • 2055074 - ET EXPLOIT_KIT ClearFake Domain in DNS Lookup (majordatabases .lat) (exploit_kit.rules)
  • 2055075 - ET EXPLOIT_KIT ClearFake Domain in TLS SNI (majordatabases .lat) (exploit_kit.rules)
  • 2858330 - ETPRO MALWARE TA582 Domain in DNS Lookup (malware.rules)
  • 2858385 - ETPRO MALWARE TA582 Domain in DNS Lookup (malware.rules)
  • 2858386 - ETPRO MALWARE TA582 Domain in DNS Lookup (malware.rules)
  • 2858387 - ETPRO MALWARE TA582 Domain in DNS Lookup (malware.rules)
  • 2858388 - ETPRO MALWARE TA582 Domain in DNS Lookup (malware.rules)
  • 2858389 - ETPRO MALWARE TA582 Domain in DNS Lookup (malware.rules)
  • 2858390 - ETPRO MALWARE TA582 Domain in DNS Lookup (malware.rules)
  • 2858414 - ETPRO MALWARE TA582 Domain in DNS Lookup (malware.rules)
  • 2858415 - ETPRO MALWARE TA582 Domain in DNS Lookup (malware.rules)
  • 2858438 - ETPRO MALWARE TA582 Domain in DNS Lookup (malware.rules)
  • 2858439 - ETPRO MALWARE TA582 Domain in DNS Lookup (malware.rules)