Contenu de Détection : Cheval de Troie Phorpiex

Dans un de nos articles de blog sur la Chasse aux Menaces , nous avons déjà observé une règle pour détecter le ransomware Avaddon, une nouvelle variante de Ransomware-as-a-Service qui a été repérée pour la première fois début juin. L’un des distributeurs les plus actifs du ransomware Avaddon est le botnet Phorpiex, qui s’est récemment remis des pertes subies plus tôt cette année. Les systèmes infectés peuvent envoyer des dizaines de milliers d’e-mails par heure, et fin 2019, le nombre de ces systèmes était proche d’un demi-million.

Le botnet Phorpiex, également connu sous le nom de Trik, est actif depuis plus de dix ans, et ces dernières années, le botnet a été « hors service » deux fois pendant longtemps en raison de violations de sécurité. La dernière fois, cet hiver, quelqu’un a détourné l’infrastructure de back-end du botnet et désinstallé le malware spam-bot d’une partie des hôtes infectés, tout en affichant une fenêtre popup demandant aux victimes d’installer un antivirus et de mettre à jour leurs systèmes. Malgré cela, les cybercriminels ont de nouveau rétabli son efficacité et ont commencé à mener des campagnes de spam massives diffusant le ransomware Avaddon. Par le passé, le botnet a à plusieurs reprises utilisé ses capacités dans des campagnes de sextorsion, pour livrer le ransomware GandCrab, le cheval de Troie Pushdo et pour miner des cryptomonnaies sur les hôtes infectés (certaines de ces vagues massives de courriels ont culminé à 27 millions d’e-mails par campagne). Une nouvelle règle Sigma de chasse aux menaces soumise par Osman Demir permet aux solutions de sécurité de découvrir l’installation d’échantillons du botnet Phorpiex récemment découverts : https://tdm.socprime.com/tdm/info/3MbqhCMu2lQ7/SsQ7OHMBPeJ4_8xc3syx/?p=1

La règle a des traductions pour les plateformes suivantes :

SIEM : Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio

EDR : Carbon Black, Elastic Endpoint

MITRE ATT&CK :

Tactiques : Accès initial

Technique : Piège avec pièce jointe (T1193)

Prêt à essayer SOC Prime TDM ? Inscrivez-vous gratuitement. Ou rejoignez le Programme de Prime aux Menaces pour créer votre propre contenu et le partager avec la communauté TDM.