Contenuto di Rilevamento: Trojan Phorpiex

In uno dei nostri Contenuti su Threat Hunting post sul blog, abbiamo già osservato una regola per rilevare Avaddon ransomware, una nuova variante di Ransomware-as-a-Service che è stata individuata per la prima volta agli inizi di giugno. Uno dei distributori più attivi di Avaddon ransomware è il botnet Phorpiex, che si è recentemente ripreso dalle perdite subite all’inizio dell’anno. I sistemi infetti possono inviare decine di migliaia di email all’ora, e alla fine del 2019, il numero di tali sistemi era vicino a mezzo milione.

Il botnet Phorpiex, noto anche come Trik, è attivo da più di un decennio e negli ultimi anni è stato ‘fuori servizio’ due volte per un lungo periodo a causa di violazioni della sicurezza. L’ultima volta, quest’inverno, qualcuno ha dirottato l’infrastruttura backend del botnet e disinstallato il malware spam-bot da parte degli host infetti, mostrando anche una finestra popup che invitava le vittime a installare un antivirus e aggiornare i sistemi. Nonostante ciò, i criminali informatici hanno nuovamente ripristinato la sua efficienza e iniziato a condurre campagne di massa di spam diffondendo Avaddon ransomware. In passato, il botnet ha usato ripetutamente i suoi poteri in campagne di sextortion, per distribuire il ransomware GandCrab, il trojan Pushdo, e per minare criptovalute sugli host infetti (alcune di queste ondate di email di massa hanno raggiunto picchi di 27 milioni di email per campagna). La nuova regola di hunting Sigma inviata da Osman Demir permette alle soluzioni di sicurezza di scoprire l’installazione di campioni recentemente scoperti del botnet Phorpiex: https://tdm.socprime.com/tdm/info/3MbqhCMu2lQ7/SsQ7OHMBPeJ4_8xc3syx/?p=1

La regola ha traduzioni per le seguenti piattaforme:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio

EDR: Carbon Black, Elastic Endpoint

MITRE ATT&CK:

Tattiche: Accesso Iniziale

Tecnica: Attachment Spearphishing (T1193)

Pronti a provare SOC Prime TDM? Iscriviti gratuitamente. Oppure unisciti al Programma Threat Bounty per creare il tuo contenuto e condividerlo con la community TDM.