탐지 콘텐츠: Floxif 트로잔

Floxif 트로이목마는 주로 Winnti 그룹에 의해 사용된 것으로 알려져 있으며, 공격자는 공식 사이트에서 사용자들이 다운로드한 감염된 CCleaner와 함께 이를 배포했습니다. 공격은 2017년 9월에 발생했으며, 공격자들은 CCleaner의 빌드 환경에 접근한 것으로 추정됩니다. Floxif 트로이목마는 Nyetya 트로이목마와 함께 감염된 시스템에 대한 정보를 수집하고 다음 단계 페이로드를 전달하는 데 사용되었습니다. 이 공격 동안 사이버 범죄자들은 Google과 Microsoft를 포함한 가장 큰 기술 기업들에 관심을 가졌습니다. 그 후 트로이목마는 여러 번 공격에 사용되었으며, 그 특유의 능력 중 하나는 합법적인 파일을 수정하여 백도어로 변환하는 것입니다. 또한 트로이목마는 추가 악성 소프트웨어를 다운로드하고, 다양한 .exe 파일을 실행하며, 설치된 안티멀웨어 솔루션을 무력화할 수 있습니다. Ariel Millahuel의 새로운 규칙은 Floxif가 설치 중에 탐지되도록 하고 심각한 피해가 발생하기 전에 위협에 대응할 수 있도록 합니다: https://tdm.socprime.com/tdm/info/KpSB21CgFObY/nYyRCHIB1-hfOQirvSY3/?p=1

위협 탐지는 다음 플랫폼에서 지원됩니다:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio, RSA NetWitness, Sumo Logic

EDR: Windows Defender ATP, Carbon Black, Elastic Endpoint

MITRE ATT&CK:

전술: 자격 증명 접근, 초기 접근, 실행

기술: 파일 내 자격 증명 (T1081), 모듈 로드를 통한 실행 (T1129)

Threat Detection Marketplace에서 Winnti 그룹이 사용한 전술을 MITRE ATT&CK 섹션에서 탐색할 수 있습니다:  https://tdm.socprime.com/att-ck/

Winnti 그룹 캠페인을 탐지하기 위해 Ariel Millahuel의 또 다른 Sigma 규칙을 추천합니다: https://tdm.socprime.com/tdm/info/btjlkBTjI66s/-otFoXEB1-hfOQirV9bj/

그리고 Emanuele De Lucia의 YARA 규칙 – APT41 / Wicked Panda / Group 72 / Winnti Group YARA Malware Pack: https://tdm.socprime.com/tdm/info/Su15QW8GgK8m/xuZQy3EBv8lhbg_iWY1s/#xuZQy3ivi1vybywybvi