Contenu de détection : Cheval de Troie Floxif

[post-views]
mai 14, 2020 · 2 min de lecture
Contenu de détection : Cheval de Troie Floxif

Le trojan Floxif est principalement connu pour avoir été utilisé par le groupe Winnti. Ils l’ont distribué avec le CCleaner infecté, qui a été téléchargé par les utilisateurs depuis le site officiel. L’attaque a eu lieu en septembre 2017, les attaquants auraient accédé à l’environnement de construction de CCleaner. Le trojan Floxif a été utilisé avec le trojan Nyetya pour collecter des informations sur les systèmes infectés et livrer la charge utile de la prochaine étape. Pendant cette attaque, les cybercriminels s’intéressaient aux plus grandes entreprises technologiques, y compris Google et Microsoft. Depuis lors, le trojan a été utilisé plus d’une fois dans des attaques, l’une de ses capacités distinctives étant la modification de fichiers légitimes les transformant en portes dérobées. De plus, le trojan peut télécharger des logiciels malveillants supplémentaires, exécuter divers fichiers .exe et neutraliser les solutions anti-malware installées. Ariel MillahuelLa nouvelle règle permet de détecter Floxif lors de l’installation et de répondre à la menace avant qu’elle ne cause des dommages sérieux : https://tdm.socprime.com/tdm/info/KpSB21CgFObY/nYyRCHIB1-hfOQirvSY3/?p=1

La détection des menaces est prise en charge pour les plateformes suivantes :

SIEM : Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio, RSA NetWitness, Sumo Logic

EDR : Windows Defender ATP, Carbon Black, Elastic Endpoint

 

MITRE ATT&CK :

Tactiques : Accès aux informations d’identification, Accès initial, Exécution

Techniques : Informations d’identification dans les fichiers (T1081), Exécution par chargement de module (T1129)

Vous pouvez explorer les tactiques utilisées par le groupe Winnti dans la section MITRE ATT&CK sur Threat Detection Marketplace :  https://tdm.socprime.com/att-ck/

Nous recommandons également une autre règle Sigma par Ariel Millahuel pour détecter les campagnes du groupe Winnti : https://tdm.socprime.com/tdm/info/btjlkBTjI66s/-otFoXEB1-hfOQirV9bj/

Et une règle YARA par Emanuele De Lucia – APT41 / Wicked Panda / Groupe 72 / Pack de malwares YARA du groupe Winnti : https://tdm.socprime.com/tdm/info/Su15QW8GgK8m/xuZQy3EBv8lhbg_iWY1s/#xuZQy3ivi1vybywybvi

Cet article vous a-t-il été utile ?

Aimez-le et partagez-le avec vos collègues.
Rejoignez la plateforme Detection as Code de SOC Prime pour améliorer la visibilité des menaces les plus pertinentes pour votre entreprise. Pour vous aider à démarrer et générer une valeur immédiate, réservez dès maintenant une réunion avec les experts de SOC Prime.
Inscrivez-vous gratuitement Réserver une réunion

Articles connexes

Tactique d’Exécution | TA0002
Blog, Dernières Menaces — 7 min de lecture
Tactique d’Exécution | TA0002
Daryna Olyniychuk
PyVil RAT par le groupe Evilnum
Blog, Dernières Menaces — 2 min de lecture
PyVil RAT par le groupe Evilnum
Eugene Tkachenko
JSOutProx RAT
Blog, Dernières Menaces — 3 min de lecture
JSOutProx RAT
Eugene Tkachenko