Erkennungsinhalt: Floxif Trojaner

Der Floxif-Trojaner ist hauptsächlich dafür bekannt, dass er von der Winnti-Gruppe genutzt wurde. Sie verteilten ihn mit dem infizierten CCleaner, der von Nutzern von der offiziellen Website heruntergeladen wurde. Der Angriff ereignete sich im September 2017. Die Angreifer verschafften sich angeblich Zugang zur Build-Umgebung von CCleaner. Der Floxif-Trojaner wurde zusammen mit dem Nyetya-Trojaner verwendet, um Informationen über infizierte Systeme zu sammeln und die nächste Nutzlast zu liefern. Während dieses Angriffs waren die Cyberkriminellen an den größten Technologieunternehmen interessiert, darunter Google und Microsoft. Seitdem wurde der Trojaner mehrmals in Angriffen eingesetzt. Eine seiner charakteristischen Fähigkeiten ist die Modifikation legitimer Dateien, wodurch diese in Hintertüren verwandelt werden. Auch kann der Trojaner zusätzliche Malware herunterladen, verschiedene .exe-Dateien ausführen und installierte Anti-Malware-Lösungen neutralisieren. Ariel Millahuel’s neue Regel ermöglicht es, Floxif während der Installation zu erkennen und auf eine Bedrohung zu reagieren, bevor ernsthafter Schaden entsteht: https://tdm.socprime.com/tdm/info/KpSB21CgFObY/nYyRCHIB1-hfOQirvSY3/?p=1

Die Bedrohungserkennung wird für die folgenden Plattformen unterstützt:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio, RSA NetWitness, Sumo Logic

EDR: Windows Defender ATP, Carbon Black, Elastic Endpoint

MITRE ATT&CK:

Taktiken: Zugangsdatenzugriff, Initialer Zugang, Ausführung

Techniken: Zugangsdaten in Dateien (T1081), Ausführung durch Modulladung (T1129)

Sie können die von der Winnti-Gruppe verwendeten Taktiken im MITRE ATT&CK-Bereich auf dem Threat Detection Marketplace erkunden:  https://tdm.socprime.com/att-ck/

Wir empfehlen auch eine weitere Sigma-Regel von Ariel Millahuel, um die Kampagnen der Winnti-Gruppe zu erkennen: https://tdm.socprime.com/tdm/info/btjlkBTjI66s/-otFoXEB1-hfOQirV9bj/

Und die YARA-Regel von Emanuele De Lucia – APT41 / Wicked Panda / Gruppe 72 / Winnti-Gruppe YARA Malware Pack: https://tdm.socprime.com/tdm/info/Su15QW8GgK8m/xuZQy3EBv8lhbg_iWY1s/#xuZQy3ivi1vybywybvi