Floxif Trojan è principalmente noto per essere utilizzato dal gruppo Winnti, che lo ha distribuito con CCleaner infettato, scaricato dagli utenti dal sito ufficiale. L’attacco si è verificato a settembre 2017, i responsabili sarebbero riusciti ad accedere all’ambiente di sviluppo di CCleaner. Floxif Trojan è stato utilizzato con Nyetya Trojan per raccogliere informazioni sui sistemi infetti e consegnare la fase successiva del payload. Durante quell’attacco, i criminali informatici erano interessati alle più grandi aziende tecnologiche, tra cui Google e Microsoft. Da allora, il trojan è stato utilizzato più di una volta negli attacchi; una delle sue abilità distintive è la modifica di file legittimi trasformandoli in backdoor. Inoltre, il trojan può scaricare malware aggiuntivi, eseguire vari file .exe e neutralizzare soluzioni anti-malware installate. Ariel MillahuelLa nuova regola di permette di rilevare Floxif durante l’installazione e di rispondere a una minaccia prima che vengano causati seri danni: https://tdm.socprime.com/tdm/info/KpSB21CgFObY/nYyRCHIB1-hfOQirvSY3/?p=1
La rilevazione delle minacce è supportata per le seguenti piattaforme:
SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio, RSA NetWitness, Sumo Logic
EDR: Windows Defender ATP, Carbon Black, Elastic Endpoint
MITRE ATT&CK:
Tattiche: Accesso alle Credenziali, Accesso Iniziale, Esecuzione
Tecniche: Credenziali nei File (T1081), Esecuzione tramite Caricamento Modulo (T1129)
Puoi esplorare le tattiche utilizzate dal gruppo Winnti nella sezione MITRE ATT&CK su Threat Detection Marketplace: https://tdm.socprime.com/att-ck/
Raccomandiamo anche un’altra regola Sigma di Ariel Millahuel per rilevare le campagne del gruppo Winnti: https://tdm.socprime.com/tdm/info/btjlkBTjI66s/-otFoXEB1-hfOQirV9bj/
E la regola YARA di Emanuele De Lucia – APT41 / Wicked Panda / Group 72 / Winnti Group YARA Malware Pack: https://tdm.socprime.com/tdm/info/Su15QW8GgK8m/xuZQy3EBv8lhbg_iWY1s/#xuZQy3ivi1vybywybvi
