Erkennungsinhalt: Floxif Trojaner

Neueste Bedrohungen

Mai 14, 2020

2 min zu lesen

Erkennungsinhalt: Floxif Trojaner

Eugene Tkachenko
Eugene Tkachenko Leiter des Community-Programms linkedin icon Folgen

Add to my AI research

ChatGPT icon Perplexity icon ClaudeAI icon Gemini icon

Abonnieren Sie den wöchentlichen Digest

Exklusiv für SOC Prime-Nutzer

Newsletter Icon

Der Floxif-Trojaner ist hauptsächlich dafür bekannt, dass er von der Winnti-Gruppe genutzt wurde. Sie verteilten ihn mit dem infizierten CCleaner, der von Nutzern von der offiziellen Website heruntergeladen wurde. Der Angriff ereignete sich im September 2017. Die Angreifer verschafften sich angeblich Zugang zur Build-Umgebung von CCleaner. Der Floxif-Trojaner wurde zusammen mit dem Nyetya-Trojaner verwendet, um Informationen über infizierte Systeme zu sammeln und die nächste Nutzlast zu liefern. Während dieses Angriffs waren die Cyberkriminellen an den größten Technologieunternehmen interessiert, darunter Google und Microsoft. Seitdem wurde der Trojaner mehrmals in Angriffen eingesetzt. Eine seiner charakteristischen Fähigkeiten ist die Modifikation legitimer Dateien, wodurch diese in Hintertüren verwandelt werden. Auch kann der Trojaner zusätzliche Malware herunterladen, verschiedene .exe-Dateien ausführen und installierte Anti-Malware-Lösungen neutralisieren. Ariel Millahuel’s neue Regel ermöglicht es, Floxif während der Installation zu erkennen und auf eine Bedrohung zu reagieren, bevor ernsthafter Schaden entsteht: https://tdm.socprime.com/tdm/info/KpSB21CgFObY/nYyRCHIB1-hfOQirvSY3/?p=1

Die Bedrohungserkennung wird für die folgenden Plattformen unterstützt:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio, RSA NetWitness, Sumo Logic

EDR: Windows Defender ATP, Carbon Black, Elastic Endpoint

 

MITRE ATT&CK:

Taktiken: Zugangsdatenzugriff, Initialer Zugang, Ausführung

Techniken: Zugangsdaten in Dateien (T1081), Ausführung durch Modulladung (T1129)

Sie können die von der Winnti-Gruppe verwendeten Taktiken im MITRE ATT&CK-Bereich auf dem Threat Detection Marketplace erkunden:  https://tdm.socprime.com/att-ck/

Wir empfehlen auch eine weitere Sigma-Regel von Ariel Millahuel, um die Kampagnen der Winnti-Gruppe zu erkennen: https://tdm.socprime.com/tdm/info/btjlkBTjI66s/-otFoXEB1-hfOQirV9bj/

Und die YARA-Regel von Emanuele De Lucia – APT41 / Wicked Panda / Gruppe 72 / Winnti-Gruppe YARA Malware Pack: https://tdm.socprime.com/tdm/info/Su15QW8GgK8m/xuZQy3EBv8lhbg_iWY1s/#xuZQy3ivi1vybywybvi

Treten Sie der Detection as Code-Plattform von SOC Prime bei um die Sichtbarkeit der für Ihr Unternehmen relevantesten Bedrohungen zu verbessern. Um Ihnen den Einstieg zu erleichtern und unmittelbaren Mehrwert zu erzielen, buchen Sie jetzt ein Treffen mit den Experten von SOC Prime.
Kostenlos beitreten Ein Treffen buchen

More Neueste Bedrohungen Articles

XE-Gruppenaktivitätserkennung: Von Kreditkarten-Skimming bis zur Ausnutzung der CVE-2024-57968 und CVE-2025-25181 VeraCore Zero-Day-Schwachstellen 4 min zu lesen Neueste Bedrohungen XE-Gruppenaktivitätserkennung: Von Kreditkarten-Skimming bis zur Ausnutzung der CVE-2024-57968 und CVE-2025-25181 VeraCore Zero-Day-Schwachstellen by Veronika Zahorulko CVE-2025-0411 Erkennung: Russische Cybercrime-Gruppen nutzen Zero-Day-Schwachstelle in 7-Zip, um ukrainische Organisationen anzugreifen 4 min zu lesen Neueste Bedrohungen CVE-2025-0411 Erkennung: Russische Cybercrime-Gruppen nutzen Zero-Day-Schwachstelle in 7-Zip, um ukrainische Organisationen anzugreifen by Veronika Zahorulko Lumma Stealer Erkennung: Hochentwickelte Kampagne nutzt GitHub-Infrastruktur zur Verbreitung von SectopRAT, Vidar, Cobeacon und anderen Malware-Arten 4 min zu lesen Neueste Bedrohungen Lumma Stealer Erkennung: Hochentwickelte Kampagne nutzt GitHub-Infrastruktur zur Verbreitung von SectopRAT, Vidar, Cobeacon und anderen Malware-Arten by Veronika Zahorulko