Ransomware

Ransomware multiplateforme : Qilin utilise les binaires Linux comme une arme contre les hôtes Windows

Lucas Morel

Le groupe abuse des outils fiables de gestion à distance et de transfert de fichiers pour fournir un chiffreur Linux sur les machines Windows.

Le groupe de ransomware Agenda, plus connu sous le nom de Qilin, a abusé des outils légitimes de gestion à distance et de transfert de fichiers, ont révélé des chercheurs en sécurité dans une nouvelle divulgation. En déployant un binaire de ransomware basé sur Linux sur des hôtes Windows, l’acteur malveillant a touché plus de 700 victimes depuis janvier 2025.

Selon les conclusions de Trend Micro, l’exécution multiplateforme contourne les solutions de détection et de sécurité centrées sur Windows, y compris les plateformes conventionnelles de détection et de réponse des points finaux. La technique utilisée par le groupe de ransomwares Agenda peut également désactiver les options de récupération via le vol ciblé des informations d’identification de sauvegarde et par l’attaque Bring Your Own Vulnerable Driver (BYOVD) pour neutraliser les défenses des points finaux.

« La campagne d’Agenda est dangereuse car elle fusionne l’exécution multiplateforme avec des abus de gestion à distance et une falsification au niveau du pilote. L’exécution d’un chiffreur Linux via des outils à distance Windows et l’utilisation de BYOVD pour tuer EDR créent un mélange puissant et résistant à la détection », a déclaré Chirag Mehta, vice-président et analyste principal chez Constellation Research.

Le manuel d’attaque

Pour obtenir un premier accès, Agenda a utilisé un système d’ingénierie sociale sophistiqué impliquant de fausses pages CAPTCHA pour transmettre les voleurs d’informations aux points finaux compromis. Cela a aidé l’acteur malveillant à obtenir des informations d’identification valides, notamment des jetons d’authentification, des cookies de navigateur et des informations d’identification stockées à partir des systèmes infectés, ce qui lui a permis de contourner l’authentification multifacteur (MFA) et de se déplacer latéralement à l’aide de sessions utilisateur légitimes, a noté Trend Micro.

La DLL proxy SOCKS a été chargée directement dans la mémoire à l’aide du processus rundll32.exe légitime de Windows pour obtenir un accès à distance et l’exécution de commandes. Les auteurs de la menace ont créé un compte administratif de porte dérobée nommé « Supportt ».

Pour cartographier l’infrastructure réseau, l’attaquant a abusé des capacités légitimes de gestion à distance de ScreenConnect pour exécuter des commandes de découverte. Cela a été réalisé à l’aide de scripts de commandes temporaires, énumérant systématiquement les approbations de domaine et identifiant les comptes privilégiés tout en apparaissant comme une activité administrative normale. L’utilitaire NetScan a été exécuté à partir des dossiers Bureau et Documents pour effectuer une énumération complète du réseau.

Même les outils de gestion à distance tels que l’agent d’ATERA Networks pour le déploiement d’AnyDesk version 9.0.5 ont été installés via des plates-formes RMM légitimes pour se fondre dans les opérations informatiques normales. Ces techniques garantissaient aux acteurs malveillants des capacités d’accès à distance redondantes qui semblaient légitimes aux systèmes de surveillance de la sécurité.

Sachant que les systèmes de sauvegarde stockent souvent les informations d’identification permettant d’accéder à plusieurs systèmes dans l’entreprise, l’infrastructure de sauvegarde Veeam a été spécifiquement ciblée à l’aide de scripts PowerShell pour collecter les informations d’identification.

Pour contourner les solutions de sécurité et même les désactiver, les acteurs malveillants ont utilisé plusieurs méthodes via BYOVD. Les fichiers 2stX.exe et Or2.exe ont été déployés et utilisaient le pilote eskle.sys pour désactiver le logiciel de sécurité, perturber les opérations du système et maintenir la persistance. Le msimg32.dll a été utilisé comme compte-gouttes pour déployer deux fichiers de pilote supplémentaires. Trois exécutables supplémentaires (cg6.exe, 44a.exe, aa.exe) ont également été identifiés comme outils anti-AV potentiels.

Plusieurs clients PuTTY SSH ont été systématiquement déployés sur des systèmes compromis, ce qui a permis aux attaquants d’établir des connexions SSH à l’infrastructure Linux, étendant ainsi leur portée au-delà des systèmes Windows.

Après avoir établi une infrastructure de commande et de contrôle à l’aide de plusieurs instances de proxy SOCKS associées aux solutions de sauvegarde Veeam, à l’infrastructure de virtualisation VMware et aux applications Adobe, le ransomware final a été déployé.

Le transfert de fichiers a été effectué via WinSCP et le binaire du ransomware Linux a été exécuté via SRManager.exe de Splashtop Remote sur les systèmes Windows.

Agenda Ransomware a attaqué des organisations dans des secteurs à forte valeur ajoutée tels que l’industrie manufacturière, la technologie, les services financiers et la santé, avec une probabilité plus élevée de paiement d’une rançon. L’impact s’étend sur 62 pays, la plupart des victimes étant aux États-Unis, en France, au Canada et au Royaume-Uni.

Réparer les lacunes

Les acteurs malveillants exploitent désormais des outils informatiques légitimes et des infrastructures hybrides pour contourner discrètement les défenses conventionnelles, appelant les RSSI à repenser leurs stratégies de sécurité.

Mehta a ajouté que lorsque les binaires Linux s’exécutent sous Windows via un outil distant, vos détections Windows uniquement ne seront pas enregistrées.

Il a ajouté qu’Agenda Ransomware exploite des hypothèses centrées sur Windows, des outils RMM sous-protégés et une surveillance négligée des pilotes. La plupart des organisations sous-estiment encore le contrôle que les attaquants gagnent une fois qu’ils compromettent les agents RMM et les informations d’identification de sauvegarde. Ils doivent donc commencer par l’identité, le RMM, les hyperviseurs et les sauvegardes, car ces plans de contrôle déterminent l’évolutivité des attaquants. Comblez les lacunes de détection multiplateforme et renforcez l’intégrité des pilotes du noyau pour émousser les chemins d’exécution BYOVD et latéraux Linux/Windows.

De plus, étant donné que l’industrie, la santé et la technologie dépendent fortement des outils RMM et de transfert de fichiers, les remplacer n’est pas réaliste. Au lieu de cela, les DSI devraient consolider sur des plates-formes approuvées, appliquer le JIT et l’accès basé sur les sessions, et séparer le trafic de gestion des systèmes de production, a noté Mehta.

Enfin, traitez les sauvegardes comme un domaine de sécurité distinct avec des réseaux isolés, des informations d’identification indépendantes, des copies immuables et une surveillance continue de la base de données pour l’accès aux informations d’identification. L’essentiel est de supposer que le contrôleur de sauvegarde lui-même pourrait être compromis.

Lucas Morel

Lucas Morel

Passionné par les zones d’ombre et les sujets tabous, je m’attache à explorer ce que d’autres préfèrent ignorer. Diplômé en journalisme d’investigation, j’ai rejoint Illicit Trade FR pour dévoiler les dessous des mondes interdits et controversés. Mon credo : informer sans juger, avec rigueur et audace.

Articles associés

Nikkei-Daten sur Slack-Konto eines Mitarbeiters geleakt
Nikkei-Daten sur Slack-Konto eines Mitarbeiters geleakt
Les packages NPM malveillants contiennent un voleur d'informations Vidar
Les packages NPM malveillants contiennent un voleur d’informations Vidar
Cloud strategy questions
Pourquoi les entreprises ne parviennent-elles pas à résoudre le problème de mauvaise configuration du cloud ?