O trojan Floxif é conhecido principalmente por ser usado pelo grupo Winnti, eles o distribuíram com o CCleaner infectado, que foi baixado pelos usuários do site oficial. O ataque ocorreu em setembro de 2017, os atacantes supostamente ganharam acesso ao ambiente de construção do CCleaner. O trojan Floxif foi usado com o trojan Nyetya para coletar informações sobre sistemas infectados e entregar a próxima carga. Durante esse ataque, os criminosos cibernéticos estavam interessados nas maiores empresas de tecnologia, incluindo Google e Microsoft. Desde então, o trojan tem sido usado mais de uma vez em ataques, uma de suas habilidades distintivas é a modificação de arquivos legítimos, transformando-os em backdoors. Além disso, o trojan pode baixar malware adicional, executar vários arquivos .exe e neutralizar soluções anti-malware instaladas. Ariel Millahuel’s nova regra permite que o Floxif seja detectado durante a instalação e responda a uma ameaça antes que danos sérios sejam causados: https://tdm.socprime.com/tdm/info/KpSB21CgFObY/nYyRCHIB1-hfOQirvSY3/?p=1
A Detecção de Ameaças é suportada pelas seguintes plataformas:
SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio, RSA NetWitness, Sumo Logic
EDR: Windows Defender ATP, Carbon Black, Elastic Endpoint
MITRE ATT&CK:
Táticas: Acesso a Credenciais, Acesso Inicial, Execução
Técnicas: Credenciais em Arquivos (T1081), Execução por Carregamento de Módulo (T1129)
Você pode explorar as táticas usadas pelo grupo Winnti na seção MITRE ATT&CK no Threat Detection Marketplace: https://tdm.socprime.com/att-ck/
Também recomendamos outra regra Sigma de Ariel Millahuel para detectar as campanhas do grupo Winnti: https://tdm.socprime.com/tdm/info/btjlkBTjI66s/-otFoXEB1-hfOQirV9bj/
E a regra YARA de Emanuele De Lucia – APT41 / Wicked Panda / Grupo 72 / Winnti Group YARA Malware Pack: https://tdm.socprime.com/tdm/info/Su15QW8GgK8m/xuZQy3EBv8lhbg_iWY1s/#xuZQy3ivi1vybywybvi
