Erkennungsinhalt: Phorpiex Trojaner

In einem unserer Threat Hunting-Inhalte Blogbeiträge haben wir bereits eine Regel zur Erkennung von Avaddon-Ransomware, einer neuen Ransomware-as-a-Service-Variante, die erstmals Anfang Juni entdeckt wurde. Einer der aktivsten Verteiler der Avaddon-Ransomware ist das Phorpiex-Botnetz, das sich kürzlich von Verlusten erholt hat, die es Anfang dieses Jahres erlitten hat. Infizierte Systeme können Zehntausende von E-Mails pro Stunde senden und Ende 2019 lag die Zahl solcher Systeme bei fast einer halben Million.

Das Phorpiex-Botnetz, auch bekannt als Trik, ist seit mehr als einem Jahrzehnt aktiv und war in den letzten Jahren aufgrund von Sicherheitsverletzungen zweimal für längere Zeit ‚außer Betrieb‘. Das letzte Mal, im Winter, übernahm jemand die Backend-Infrastruktur des Botnetzes und deinstallierte die Spam-Bot-Malware von einem Teil der infizierten Hosts, wobei er auch ein Popup-Fenster zeigte, das die Opfer aufforderte, ein Antivirus zu installieren und ihre Systeme zu aktualisieren. Trotz dessen haben Cyberkriminelle die Effizienz des Botnetzes erneut wiederhergestellt und damit begonnen, Massen-Spam-Kampagnen zur Verbreitung von Avaddon-Ransomware durchzuführen. In der Vergangenheit hat das Botnetz seine Kräfte mehrfach in Sextortion-Kampagnen eingesetzt, um GandCrab-Ransomware, den Pushdo-Trojaner auszuliefern und Kryptowährung auf den infizierten Hosts zu schürfen (einige dieser Massen-Mail-Wellen erreichten bis zu 27 Millionen E-Mails pro Kampagne). Neue Threat-Hunting-Sigma-Regel, eingereicht von Osman Demir ermöglicht Sicherheitslösungen die Entdeckung der Installation kürzlich entdeckter Phorpiex-Botnetz-Proben: https://tdm.socprime.com/tdm/info/3MbqhCMu2lQ7/SsQ7OHMBPeJ4_8xc3syx/?p=1

Die Regel ist für die folgenden Plattformen übersetzt:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio

EDR: Carbon Black, Elastic Endpoint

MITRE ATT&CK:

Taktiken: Erstzugriff

Technik: Spearphishing-Anhang (T1193)

Bereit, SOC Prime TDM auszuprobieren? Melden Sie sich kostenlos an. Oder treten Sie dem Threat-Bounty-Programm bei um Ihre eigenen Inhalte zu erstellen und sie mit der TDM-Community zu teilen.