<div dir="ltr">[***]            Summary:            [***]<br><br>  24 new Open, 36 new Pro (21 + 15).  AZORult, Parallax, Kimsuky, Various SSL/TLS, Various Phish, Others.<br><br>  Thanks 0xCARNAGE.<br><br>  Please share issues, feedback, and requests at <a href="https://feedback.emergingthreats.net/feedback">https://feedback.emergingthreats.net/feedback</a><br><br>[+++]          Added rules:          [+++]<br><br>Open:<br><br>  2029450 - ET TROJAN Kimsuky Related CnC (trojan.rules)<br>  2029451 - ET TROJAN Possible Kimsuky Related Exfil (trojan.rules)<br>  2029452 - ET TROJAN Possible Kimsuky Related Download (trojan.rules)<br>  2029453 - ET TROJAN Kimsuky Related CnC (trojan.rules)<br>  2029454 - ET TROJAN Parallax RAT CnC Domain Observed in DNS Query (trojan.rules)<br>  2029455 - ET TROJAN Parallax CnC Activity M7 (set) (trojan.rules)<br>  2029456 - ET TROJAN Parallax CnC Response Activity M7 (trojan.rules)<br>  2029457 - ET TROJAN Win32/AZORult V3.2 Client Checkin M10 (trojan.rules)<br>  2029458 - ET TROJAN Win32/AZORult V3.2 Client Checkin M11 (trojan.rules)<br>  2029459 - ET TROJAN Win32/AZORult V3.2 Client Checkin M12 (trojan.rules)<br>  2029460 - ET TROJAN Win32/AZORult V3.3 Client Checkin M10 (trojan.rules)<br>  2029461 - ET TROJAN Win32/AZORult V3.3 Client Checkin M11 (trojan.rules)<br>  2029462 - ET TROJAN Win32/AZORult V3.3 Client Checkin M12 (trojan.rules)<br>  2029463 - ET TROJAN Win32/AZORult V3.2 Client Checkin M13 (trojan.rules)<br>  2029464 - ET TROJAN Win32/AZORult V3.2 Client Checkin M14 (trojan.rules)<br>  2029465 - ET TROJAN Win32/AZORult V3.2 Client Checkin M15 (trojan.rules)<br>  2029466 - ET TROJAN Win32/AZORult V3.3 Client Checkin M13 (trojan.rules)<br>  2029467 - ET TROJAN Win32/AZORult V3.3 Client Checkin M14 (trojan.rules)<br>  2029468 - ET TROJAN Win32/AZORult V3.3 Client Checkin M15 (trojan.rules)<br>  2029469 - ET TROJAN Observed Malicious SSL Cert (AgentTesla CnC) (trojan.rules)<br>  2029470 - ET MALWARE Win32/YTDDownloader.F Activity (malware.rules)<br><br>Pro:<br><br>  2839487 - ETPRO INFO Observed Office Doc Download From .msi Request (info.rules)<br>  2841046 - ETPRO TROJAN Observed Malicious User-Agent (trojan.rules)<br>  2841047 - ETPRO TROJAN Observed Malicious SSL Cert (Get2) (trojan.rules)<br>  2841048 - ETPRO TROJAN CoinMiner Known Malicious Stratum Authline (2020-02-14 1) (trojan.rules)<br>  2841049 - ETPRO TROJAN CoinMiner Known Malicious Stratum Authline (2020-02-14 2) (trojan.rules)<br>  2841050 - ETPRO TROJAN MSIL/Pterodo.K Variant Host Checkin (trojan.rules)<br>  2841051 - ETPRO CURRENT_EVENTS Successful Vodafone Phish 2020-02-14 (current_events.rules)<br>  2841052 - ETPRO CURRENT_EVENTS Successful Santander Phish 2020-02-14 (current_events.rules)<br>  2841053 - ETPRO CURRENT_EVENTS Successful Linkedin Phish 2020-02-14 (current_events.rules)<br>  2841054 - ETPRO TROJAN Win32/IcedID CnC Activity (trojan.rules)<br>  2841055 - ETPRO TROJAN Cryptbot AHK Downloader (trojan.rules)<br>  2841056 - ETPRO TROJAN Win32/Remcos RAT Checkin 343 (trojan.rules)<br>  2841057 - ETPRO TROJAN Win32/Remcos RAT Checkin 344 (trojan.rules)<br>  2841058 - ETPRO TROJAN Win32/Remcos RAT Checkin 345 (trojan.rules)<br>  2841059 - ETPRO TROJAN Win32/Remcos RAT Checkin 346 (trojan.rules)<br><br>[///]     Modified active rules:     [///]<br><br>  2023764 - ET TROJAN X2000M.Agent Checkin Jan 24 2017 (trojan.rules)<br>  2028616 - ET CURRENT_EVENTS Facebook Phishing Domain in DNS Lookup (current_events.rules)<br>  2029200 - ET TROJAN Observed Malicious SSL Cert (jssLoader CnC) (trojan.rules)<br>  2029245 - ET TROJAN Observed Malicious SSL Cert (ServHelper CnC) (trojan.rules)<br>  2029380 - ET TROJAN Win32/Emotet CnC Activity (POST) M8 (trojan.rules)<br>  2029394 - ET TROJAN Malicious SSL Certificate detected (Patchwork CnC) (trojan.rules)<br>  2029400 - ET TROJAN Observed Malicious SSL Cert (TinyNuke Variant CnC) 2020-02-09 (trojan.rules)<br>  2816614 - ETPRO TROJAN OnionDog/TrosmAgent CnC Beacon (trojan.rules)<br>  2820288 - ETPRO TROJAN Bolek/Kbot CnC Checkin (trojan.rules)<br>  2820973 - ETPRO EXPLOIT Possible Wget Arbitrary File Write Exploit Attempt (CVE-2016-4971) (exploit.rules)<br>  2821167 - ETPRO TROJAN W32/Unknown Dropper Downloading Cobalt Strike Beacon (trojan.rules)<br>  2821343 - ETPRO TROJAN Win32.Swizzor Checkin (trojan.rules)<br>  2821344 - ETPRO TROJAN Cerber Ransomware Macro EXE Download (trojan.rules)<br>  2821827 - ETPRO WEB_SPECIFIC_APPS Navis WebAccess SQLi Attempt (web_specific_apps.rules)<br>  2821839 - ETPRO TROJAN Panda Banker CnC (trojan.rules)<br>  2822055 - ETPRO TROJAN Likely APT29 Retrieving Payload Embedded In PNG 2 (trojan.rules)<br>  2822080 - ETPRO CURRENT_EVENTS Successful Dynamic Folder Phishing Sept 12 2016 (current_events.rules)<br>  2822181 - ETPRO TROJAN Bolek HTTP Checkin (trojan.rules)<br>  2822235 - ETPRO CURRENT_EVENTS Successful Dynamic Folder Phishing M1 Sept 26 2016 (current_events.rules)<br>  2822236 - ETPRO CURRENT_EVENTS Successful Dynamic Folder Phishing M2 Sept 26 2016 (current_events.rules)<br>  2822240 - ETPRO CURRENT_EVENTS MalDoc Retrieving Payload Sep 26 2016 (current_events.rules)<br>  2822241 - ETPRO TROJAN Sharik/Smoke Loader Connectivity Check M3 (trojan.rules)<br>  2822242 - ETPRO TROJAN MSIL.ShopBot.avf Downloader Checkin (trojan.rules)<br>  2822246 - ETPRO TROJAN MSIL.ShopBot.avf Downloader Execute Command Request (trojan.rules)<br>  2822250 - ETPRO MALWARE Win32/ZonaInstaller PUP Install Beacon (malware.rules)<br>  2822482 - ETPRO CURRENT_EVENTS SunDown/Xer Payload (URL Primer) (current_events.rules)<br>  2822483 - ETPRO CURRENT_EVENTS Possible Successful Generic Phish Oct 07 2016 (current_events.rules)<br>  2823197 - ETPRO TROJAN Possible APT29 Compressed Payload Download Request (trojan.rules)<br>  2823671 - ETPRO TROJAN LatentBot HTTP POST Checkin 2 (trojan.rules)<br>  2823965 - ETPRO CURRENT_EVENTS Successful Paypal (DE) Phish Dec 19 2016 (current_events.rules)<br>  2824209 - ETPRO TROJAN MSIL/Downloader.Agent.CUL Checkin (trojan.rules)<br>  2824764 - ETPRO CURRENT_EVENTS RedKit EK Landing Feb 02 2017 M1 (current_events.rules)<br>  2824765 - ETPRO CURRENT_EVENTS RedKit EK Landing Feb 02 2017 M2 (current_events.rules)<br>  2824777 - ETPRO CURRENT_EVENTS EITest SocEng Chrome Fonts DL Feb 06 M1 (current_events.rules)<br>  2824807 - ETPRO CURRENT_EVENTS Evil Redirector Leading to EK Feb 07 2017 (current_events.rules)<br>  2824916 - ETPRO MOBILE_MALWARE PUA Android/Odpa.A Checkin (mobile_malware.rules)<br>  2824975 - ETPRO TROJAN JS/Nemucod Retrieving Payload (trojan.rules)<br>  2825236 - ETPRO CURRENT_EVENTS Possible Successful Generic Phish Mar 03 2017 (current_events.rules)<br>  2825585 - ETPRO TROJAN Misdat/Poldat Variant CnC Beacon (trojan.rules)<br>  2825659 - ETPRO TROJAN Crypteando KeyLogger CnC Checkin (trojan.rules)<br>  2826028 - ETPRO TROJAN Malicious SSL Certificate Observed (Win32/Kryptik.FRIW Banker Injects) (trojan.rules)<br>  2827624 - ETPRO TROJAN Possible APT.9002 Fileless Variant CnC Beacon 1 (trojan.rules)<br>  2828540 - ETPRO CURRENT_EVENTS MalDoc Retrieving Payload Nov 6 2017 (current_events.rules)<br>  2828955 - ETPRO TROJAN W32/Nymaim Checkin 8 (trojan.rules)<br>  2829235 - ETPRO CURRENT_EVENTS Successful Secure Cloud Files Phish 2018-01-10 M2 (current_events.rules)<br>  2829339 - ETPRO MOBILE_MALWARE Trojan.AndroidOS.Skygofree.a Checkin 2 (mobile_malware.rules)<br>  2829396 - ETPRO MOBILE_MALWARE Android/Agent.AKX / Trojan-Spy.AndroidOS.Agent.oe Checkin 3 (mobile_malware.rules)<br>  2829434 - ETPRO MOBILE_MALWARE Android.Trojan.SmsSpy.O CnC Beacon (mobile_malware.rules)<br>  2829563 - ETPRO CURRENT_EVENTS Successful Ebay Phish 2018-02-06 (DE) (current_events.rules)<br>  2829757 - ETPRO MOBILE_MALWARE Android/Agent.ATW Checkin (mobile_malware.rules)<br>  2830046 - ETPRO MOBILE_MALWARE Android/LockScreen.Jisut.AP Checkin (mobile_malware.rules)<br>  2830049 - ETPRO MOBILE_MALWARE Android/TrojanDropper.Shedun.V Checkin 4 (mobile_malware.rules)<br>  2830111 - ETPRO MOBILE_MALWARE Android/Spy.Agent.ALE / ArmedRocket Checkin (mobile_malware.rules)<br>  2830123 - ETPRO MOBILE_MALWARE Trojan-Dropper.AndroidOS.Mwiam.e Checkin (mobile_malware.rules)<br>  2830125 - ETPRO MOBILE_MALWARE <a href="http://Trojan.AndroidOS.Triada.bh">Trojan.AndroidOS.Triada.bh</a> Checkin 3 (mobile_malware.rules)<br>  2830309 - ETPRO MOBILE_MALWARE Anubis Android Loader / BankBot Checkin 16 (mobile_malware.rules)<br>  2830813 - ETPRO CURRENT_EVENTS Evil Redirector Leading to TechSupport Scam (current_events.rules)<br>  2830914 - ETPRO CURRENT_EVENTS Malicious Redirect Leading to SocEng May 18 2018 (current_events.rules)<br>  2830924 - ETPRO WEB_CLIENT Tech Support Phone Scam - Redirection to Landing Inbound (web_client.rules)<br>  2841023 - ETPRO TROJAN Request for Malicious Packed EXE (trojan.rules)<br><br>[---]  Disabled and modified rules:  [---]<br><br>  2805813 - ETPRO MOBILE_MALWARE Trojan.AndroidOS.GingerMaster.a Checkin 4 (mobile_malware.rules)<br>  2822002 - ETPRO CURRENT_EVENTS Evil Redirector Leading to EK Keitaro Sep 6 2016 T1 (current_events.rules)<br>  2822142 - ETPRO CURRENT_EVENTS Evil Redirector Leading to EK Keitaro Sep 16 2016 (current_events.rules)<br>  2822451 - ETPRO CURRENT_EVENTS Evil Redirector Leading to EK Keitaro Oct 02 2016 (current_events.rules)<br>  2822452 - ETPRO CURRENT_EVENTS Evil Redirector Leading to EK Keitaro Oct 06 2016 (current_events.rules)<br>  2823059 - ETPRO CURRENT_EVENTS Evil Redirector Leading to EK Keitaro TDS Nov 01 2016 (current_events.rules)<br>  2823173 - ETPRO CURRENT_EVENTS Evil Redirector Leading to EK Keitaro TDS Nov 01 2016 (current_events.rules)<br>  2823247 - ETPRO CURRENT_EVENTS Evil Redirector Leading to EK Keitaro TDS Nov 14 2016 (current_events.rules)<br>  2824806 - ETPRO TROJAN Unknown Backdoor SSL Cert (legitimate compromised site) (trojan.rules)<br>  2825526 - ETPRO CURRENT_EVENTS Evil Redirector Leading to EK Keitaro TDS Mar 17 2017 (current_events.rules)<br>  2826393 - ETPRO CURRENT_EVENTS Evil Redirector Leading to EK Keitaro TDS May 15 2017 (current_events.rules)<br>  2827154 - ETPRO CURRENT_EVENTS Evil Redirector Leading to EK Keitaro TDS July 16 2017 (current_events.rules)<br><br>[---]         Disabled rules:        [---]<br><br>  2821333 - ETPRO TROJAN W32/Pislik Checkin (trojan.rules)<br>  2823603 - ETPRO TROJAN MSIL.Unknown Checkin (trojan.rules)<br><br>[---]         Removed rules:         [---]<br><br>  2824463 - ETPRO TROJAN Observed Malicious Domain SSL Cert in SNI (Unknown) (trojan.rules)<br clear="all"><div><br></div><div dir="ltr" class="gmail_signature" data-smartmail="gmail_signature"><div dir="ltr"><div><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><table width="470" cellspacing="0" cellpadding="0" border="0" style="border-spacing:0px;border-collapse:collapse;color:rgb(51,51,51);font-family:Muli,sans-serif;font-size:13px"><tbody><tr><td style="padding:0px"><table cellspacing="0" cellpadding="0" border="0" style="border-spacing:0px;border-collapse:collapse;background-color:transparent"><tbody><tr><td valign="top" style="padding:0px 15px 0px 8px;font-size:1em"><table cellspacing="0" cellpadding="0" border="0" style="border-spacing:0px;border-collapse:collapse;background-color:transparent;line-height:1.4;font-family:Arial,Helvetica,sans-serif;font-size:11.7px;color:rgb(0,0,1)"><tbody><tr><td style="padding:0px"><div style="font-size:1.2em"><font color="#cccccc"><span style="font-size:12.8px">------------------------------</span><span style="font-size:12.8px">---------</span></font><br></div><div style="font-size:1.2em"><br></div><div style="font-size:1.2em">James Emery-Callcott</div></td></tr><tr><td style="padding:4px 0px"><div><span style="font-weight:700">Security Researcher</span> <span>| </span><span>ProofPoint Inc</span> <span>| </span><span>Emerging Threats Team</span></div></td></tr><tr><td style="padding:0px"><br><span></span></td></tr></tbody></table></td></tr></tbody></table></td></tr></tbody></table></div><div dir="ltr"><br></div></div></div></div></div></div></div></div></div></div></div>