検出コンテンツ：Floxif トロイの木馬

Floxif トロイの木馬は主に Winnti グループによって使用されていることで知られており、ユーザーが公式サイトからダウンロードした感染した CCleaner と共に配布されました。この攻撃は 2017 年 9 月に発生し、攻撃者は CCleaner のビルド環境へのアクセスを得たとされています。Floxif トロイの木馬は Nyetya トロイの木馬と共に使用され、感染したシステムの情報を収集し、次段階のペイロードを配信しました。その攻撃中、サイバー犯罪者は Google や Microsoft を含む最大のテクノロジー企業に興味を持ちました。それ以来、このトロイの木馬は攻撃で何度も使用されており、その特徴的な能力の一つは合法的なファイルを不正なバックドアに変更することです。また、このトロイの木馬は追加のマルウェアをダウンロードし、様々な .exe ファイルを実行し、インストールされたアンチマルウェアのソリューションを無効化することもできます。 アリエル・ミラウエルの新しいルールにより、Flofix はインストール中に検出され、深刻な被害が発生する前に脅威に対応することができます： https://tdm.socprime.com/tdm/info/KpSB21CgFObY/nYyRCHIB1-hfOQirvSY3/?p=1

以下のプラットフォームで脅威検出がサポートされています：

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio, RSA NetWitness, Sumo Logic

EDR: Windows Defender ATP, Carbon Black, Elastic Endpoint

MITRE ATT&CK:

戦術: 資格情報アクセス, 初期アクセス, 実行

技術: ファイル内の資格情報 (T1081), モジュール読み込みによる実行 (T1129)

Winnti グループが使用する戦術は、Threat Detection Marketplace の MITRE ATT&CK セクションで探索できます:  https://tdm.socprime.com/att-ck/

Winnti グループのキャンペーンを検出するために、別のアリエル・ミラウエルによる Sigma ルールも推奨します： https://tdm.socprime.com/tdm/info/btjlkBTjI66s/-otFoXEB1-hfOQirV9bj/

そしてエマヌエル・デ・ルシアによる YARA ルール – APT41 / Wicked Panda / Group 72 / Winnti Group YARA マルウェアパック： https://tdm.socprime.com/tdm/info/Su15QW8GgK8m/xuZQy3EBv8lhbg_iWY1s/#xuZQy3ivi1vybywybvi