Contenuto di Rilevamento: Trojan Floxif

[post-views]
Maggio 14, 2020 · 2 min di lettura
Contenuto di Rilevamento: Trojan Floxif

Floxif Trojan è principalmente noto per essere utilizzato dal gruppo Winnti, che lo ha distribuito con CCleaner infettato, scaricato dagli utenti dal sito ufficiale. L’attacco si è verificato a settembre 2017, i responsabili sarebbero riusciti ad accedere all’ambiente di sviluppo di CCleaner. Floxif Trojan è stato utilizzato con Nyetya Trojan per raccogliere informazioni sui sistemi infetti e consegnare la fase successiva del payload. Durante quell’attacco, i criminali informatici erano interessati alle più grandi aziende tecnologiche, tra cui Google e Microsoft. Da allora, il trojan è stato utilizzato più di una volta negli attacchi; una delle sue abilità distintive è la modifica di file legittimi trasformandoli in backdoor. Inoltre, il trojan può scaricare malware aggiuntivi, eseguire vari file .exe e neutralizzare soluzioni anti-malware installate. Ariel MillahuelLa nuova regola di permette di rilevare Floxif durante l’installazione e di rispondere a una minaccia prima che vengano causati seri danni: https://tdm.socprime.com/tdm/info/KpSB21CgFObY/nYyRCHIB1-hfOQirvSY3/?p=1

La rilevazione delle minacce è supportata per le seguenti piattaforme:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio, RSA NetWitness, Sumo Logic

EDR: Windows Defender ATP, Carbon Black, Elastic Endpoint

 

MITRE ATT&CK:

Tattiche: Accesso alle Credenziali, Accesso Iniziale, Esecuzione

Tecniche: Credenziali nei File (T1081), Esecuzione tramite Caricamento Modulo (T1129)

Puoi esplorare le tattiche utilizzate dal gruppo Winnti nella sezione MITRE ATT&CK su Threat Detection Marketplace:  https://tdm.socprime.com/att-ck/

Raccomandiamo anche un’altra regola Sigma di Ariel Millahuel per rilevare le campagne del gruppo Winnti: https://tdm.socprime.com/tdm/info/btjlkBTjI66s/-otFoXEB1-hfOQirV9bj/

E la regola YARA di Emanuele De Lucia – APT41 / Wicked Panda / Group 72 / Winnti Group YARA Malware Pack: https://tdm.socprime.com/tdm/info/Su15QW8GgK8m/xuZQy3EBv8lhbg_iWY1s/#xuZQy3ivi1vybywybvi

Questo articolo è stato utile?

Metti mi piace e condividilo con i tuoi colleghi.
Unisciti alla piattaforma Detection as Code di SOC Prime per migliorare la visibilità sulle minacce più rilevanti per il tuo business. Per aiutarti a iniziare e ottenere valore immediato, prenota ora un incontro con gli esperti di SOC Prime.
Iscriviti gratis Prenota un incontro

Articoli correlati

Tattica di Esecuzione | TA0002
Blog, Ultime Minacce — 7 min di lettura
Tattica di Esecuzione | TA0002
Daryna Olyniychuk
PyVil RAT del Gruppo Evilnum
Blog, Ultime Minacce — 2 min di lettura
PyVil RAT del Gruppo Evilnum
Eugene Tkachenko
JSOutProx RAT
Blog, Ultime Minacce — 2 min di lettura
JSOutProx RAT
Eugene Tkachenko