Contenu de détection : Cheval de Troie Floxif

Eugene Tkachenko Responsable Programme Communautaire

Add to my AI research

Le trojan Floxif est principalement connu pour avoir été utilisé par le groupe Winnti. Ils l’ont distribué avec le CCleaner infecté, qui a été téléchargé par les utilisateurs depuis le site officiel. L’attaque a eu lieu en septembre 2017, les attaquants auraient accédé à l’environnement de construction de CCleaner. Le trojan Floxif a été utilisé avec le trojan Nyetya pour collecter des informations sur les systèmes infectés et livrer la charge utile de la prochaine étape. Pendant cette attaque, les cybercriminels s’intéressaient aux plus grandes entreprises technologiques, y compris Google et Microsoft. Depuis lors, le trojan a été utilisé plus d’une fois dans des attaques, l’une de ses capacités distinctives étant la modification de fichiers légitimes les transformant en portes dérobées. De plus, le trojan peut télécharger des logiciels malveillants supplémentaires, exécuter divers fichiers .exe et neutraliser les solutions anti-malware installées. Ariel MillahuelLa nouvelle règle permet de détecter Floxif lors de l’installation et de répondre à la menace avant qu’elle ne cause des dommages sérieux : https://tdm.socprime.com/tdm/info/KpSB21CgFObY/nYyRCHIB1-hfOQirvSY3/?p=1

La détection des menaces est prise en charge pour les plateformes suivantes :

SIEM : Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio, RSA NetWitness, Sumo Logic

EDR : Windows Defender ATP, Carbon Black, Elastic Endpoint

MITRE ATT&CK :

Tactiques : Accès aux informations d’identification, Accès initial, Exécution

Techniques : Informations d’identification dans les fichiers (T1081), Exécution par chargement de module (T1129)

Vous pouvez explorer les tactiques utilisées par le groupe Winnti dans la section MITRE ATT&CK sur Threat Detection Marketplace : https://tdm.socprime.com/att-ck/

Nous recommandons également une autre règle Sigma par Ariel Millahuel pour détecter les campagnes du groupe Winnti : https://tdm.socprime.com/tdm/info/btjlkBTjI66s/-otFoXEB1-hfOQirV9bj/

Et une règle YARA par Emanuele De Lucia – APT41 / Wicked Panda / Groupe 72 / Pack de malwares YARA du groupe Winnti : https://tdm.socprime.com/tdm/info/Su15QW8GgK8m/xuZQy3EBv8lhbg_iWY1s/#xuZQy3ivi1vybywybvi

Rejoignez la plateforme Detection as Code de SOC Prime pour améliorer la visibilité sur les menaces les plus pertinentes pour votre entreprise. Pour vous aider à démarrer et à générer une valeur immédiate, planifiez dès maintenant une réunion avec des experts de SOC Prime.

Rejoindre gratuitement Planifier une réunion

More Dernières Menaces Articles

Détection des Activités du Groupe XE : Du Skimming de Carte de Crédit à l’Exploitation des Vulnérabilités Zero-Day CVE-2024-57968 et CVE-2025-25181 dans VeraCore

Fév 11/2025 5 min de lecture Dernières Menaces Détection des Activités du Groupe XE : Du Skimming de Carte de Crédit à l’Exploitation des Vulnérabilités Zero-Day CVE-2024-57968 et CVE-2025-25181 dans VeraCore by Veronika Zahorulko

Détection de CVE-2025-0411 : les groupes cybercriminels russes exploitent une vulnérabilité Zero-Day dans 7-Zip pour cibler les organisations ukrainiennes

Fév 5/2025 5 min de lecture Dernières Menaces Détection de CVE-2025-0411 : les groupes cybercriminels russes exploitent une vulnérabilité Zero-Day dans 7-Zip pour cibler les organisations ukrainiennes by Veronika Zahorulko

Détection de Lumma Stealer : Campagne sophistiquée utilisant l’infrastructure GitHub pour diffuser SectopRAT, Vidar, Cobeacon et d’autres types de logiciels malveillants

Jan 31/2025 5 min de lecture Dernières Menaces Détection de Lumma Stealer : Campagne sophistiquée utilisant l’infrastructure GitHub pour diffuser SectopRAT, Vidar, Cobeacon et d’autres types de logiciels malveillants by Veronika Zahorulko