SOC Prime Bias: Critique

16 Jun 2026 12:58 UTC
newspaper icon ibm.com

Interlock et Rhysida : L’IA dans l’écosystème des ransomwares

Author Photo
SOC Prime Team linkedin icon Suivre
Interlock et Rhysida : L’IA dans l’écosystème des ransomwares
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query


Résumé

La recherche IBM X-Force met en évidence un lien fort entre les écosystèmes ransomware Interlock (Hive0163) et Rhysida. Le rapport décrit un réseau complexe de familles de logiciels malveillants partagées, de crypteurs spécialisés et de brokers d’accès initial coordonnés. Interlock semble être un groupe de menaces très mature utilisant des outils personnalisés comme NodeSnake et InterlockRAT, et il pourrait avoir évolué à partir d’opérateurs précédemment associés à Rhysida.

Enquête

X-Force a mené des recherches à long terme sur plus de deux ans, analysant des échantillons de logiciels malveillants, des chaînes d’attaque et des infrastructures de mise en scène. L’enquête a révélé d’importantes similitudes de code entre plusieurs portes dérobées et a suivi le développement de crypteurs dédiés tels que JunkFiction et Tomb. Les chercheurs ont également cartographié les liens entre les acteurs de la menace et les brokers d’accès initial à travers l’infrastructure et l’utilisation d’outils qui se chevauchent.

Atténuation

Les organisations devraient déployer des capacités de détection et de réponse aux points de terminaison robustes pour identifier les comportements de processus suspects, y compris une activité PowerShell inattendue et des changements de registre non autorisés. Le correctif immédiat des appareils réseau exposés à Internet est essentiel pour réduire le risque d’exploitation, y compris les vulnérabilités telles que CVE-2026-20131. L’application stricte des contrôles WDAC et la surveillance de l’activité des outils RMM non approuvés peuvent également limiter les opérations après compromettre.

Réponse

Si une activité d’Interlock ou de Rhysida est suspectée, isolez immédiatement les systèmes impactés pour arrêter le déplacement latéral via des tunnels RDP ou SOCKS5. Menez un examen approfondi de l’infrastructure de mise en scène et vérifiez la présence d’outils de gestion à distance non autorisés tels que ConnectWise ScreenConnect. Passez en revue les journaux pour des exécutions PowerShell suspectes et enquêtez sur tout changement non autorisé concernant les tâches planifiées ou les services systemd.

graph TB %% Définitions des classes classDef initial_access fill:#f96,stroke:#333,stroke-width:2px classDef evasion fill:#bbf,stroke:#333,stroke-width:2px classDef execution fill:#dfd,stroke:#333,stroke-width:2px classDef persistence fill:#fdd,stroke:#333,stroke-width:2px classDef command_control fill:#ffd,stroke:#333,stroke-width:2px classDef discovery fill:#dff,stroke:#333,stroke-width:2px classDef lateral_movement fill:#dcd,stroke:#333,stroke-width:2px classDef impact fill:#f99,stroke:#333,stroke-width:2px classDef tool_malware fill:#eee,stroke:#333,stroke-width:1px %% Phase d’accès initial action_drive_by[« <b>Action</b> – <b idea=’T1189 Compromission par navigation (Drive-by Compromise)'</b><br/>Les victimes sont attirées via des sites web frauduleux,<br/>des publicités malveillantes ou des redirections<br/>provenant de moteurs de recherche. »] class action_drive_by initial_access action_content_injection[« <b>Action</b> – <b idea=’T1204 Injection de contenu'</b><br/>Utilisation de systèmes de distribution de trafic (TDS)<br/>comme TAG-124 ou ClickFix afin de rediriger les utilisateurs. »] class action_content_injection initial_access action_subvert_trust[« <b>Action</b> – <b idea=’T1553 Contournement des contrôles de confiance : Signature de code'</b><br/>Utilisation de certificats frauduleux tels que ceux de<br/>Foshan Yongqiheng Trading Co., Ltd. »] class action_subvert_trust evasion %% Phase d’exécution et de transfert action_user_exec[« <b>Action</b> – <b idea=’T1204 Exécution par l’utilisateur'</b><br/>Exécution d’installateurs trojanisés<br/>(par exemple Microsoft Teams, Chrome ou Edge). »] class action_user_exec execution malware_initial_payload[« <b>Logiciel malveillant</b> – <b idea=’Payloads’>JunkFiction, NodeSnake ou Endico</b><br/>Téléchargeurs de première étape exécutés<br/>après interaction de l’utilisateur. »] class malware_initial_payload tool_malware action_ingress_transfer[« <b>Action</b> – <b idea=’T1105 Transfert d’outils entrant'</b><br/>Récupération d’un malware de seconde étape depuis<br/>des serveurs distants de commande et contrôle. »] class action_ingress_transfer execution malware_second_stage[« <b>Logiciel malveillant</b> – <b idea=’Backdoors’>Supper ou InterlockRAT</b><br/>Backdoors de seconde étape récupérées<br/>pour permettre l’accès distant. »] class malware_second_stage tool_malware %% Phase de persistance action_persistence_linux[« <b>Action</b> – <b idea=’T1543.003 Scripts d’initialisation au démarrage ou à la connexion : Service Systemd'</b><br/>Les variantes Linux de NodeSnake créent<br/>de nouveaux services systemd. »] class action_persistence_linux persistence action_persistence_windows[« <b>Action</b> – <b idea=’T1547 Modification de configuration Shell Unix’>Persistance Windows</b><br/>Utilisation de modifications de configuration du shell<br/>pour conserver un accès durable. »] class action_persistence_windows persistence %% Phase Command and Control action_c2[« <b>Action</b> – <b idea=’T1219 Logiciel d’accès distant'</b><br/>Création de shells inversés et de<br/>tunnels SOCKS5 pour des communications furtives. »] class action_c2 command_control %% Phase de découverte action_discovery_domain[« <b>Action</b> – <b idea=’T1087.002 Découverte de comptes : Compte de domaine'</b><br/>Énumération des comptes de domaine à l’aide<br/>de commandes telles que net user /domain. »] class action_discovery_domain discovery action_discovery_groups[« <b>Action</b> – <b idea=’T1069.002 Découverte des groupes d’autorisations : Groupes de domaine'</b><br/>Énumération des groupes via<br/>net group domain admins /domain. »] class action_discovery_groups discovery %% Mouvement latéral et impact action_lateral_move[« <b>Action</b> – <b idea=’T1210 Exploitation des services distants'</b><br/>Déplacement dans l’environnement via des sessions RDP<br/>initiées par des shells inversés. »] class action_lateral_move lateral_movement action_selective_exclusion[« <b>Action</b> – <b idea=’Defense Evasion’>Exclusion sélective</b><br/>Déploiement de stratégies WDAC personnalisées afin de bloquer<br/>Microsoft Defender ou Sophos EDR. »] class action_selective_exclusion evasion action_impact_encryption[« <b>Action</b> – <b idea=’T1486 Chiffrement des données pour impact'</b><br/>Déploiement final des ransomwares Interlock ou Rhysida<br/>pour chiffrer les fichiers des victimes. »] class action_impact_encryption impact %% Connexions action_drive_by –>|facilite| action_content_injection action_content_injection –>|mène_à| action_user_exec action_user_exec –>|utilise| malware_initial_payload malware_initial_payload –>|nécessite| action_subvert_trust malware_initial_payload –>|déclenche| action_ingress_transfer action_ingress_transfer –>|télécharge| malware_second_stage malware_second_stage –>|établit| action_persistence_linux malware_second_stage –>|établit| action_persistence_windows malware_second_stage –>|active| action_c2 action_c2 –>|effectue| action_discovery_domain action_c2 –>|effectue| action_discovery_groups action_discovery_domain –>|informe| action_lateral_move action_discovery_groups –>|informe| action_lateral_move action_lateral_move –>|mène_à| action_selective_exclusion action_selective_exclusion –>|précède| action_impact_encryption

Flux d’Attaque

Détection

Points de persistance possibles [ASEPs – Software/NTUSER Hive] (via registry_event)

Équipe SOC Prime
16 juin 2026

Voir

Téléchargement ou téléversement via Powershell (via cmdline)

Équipe SOC Prime
16 juin 2026

Voir

Énumération possible du système (via cmdline)

Équipe SOC Prime
16 juin 2026

Voir

Découverte possible de systèmes distants ou vérification de connectivité (via cmdline)

Équipe SOC Prime
16 juin 2026

Voir

Énumération possible de comptes administratifs ou de groupes (via cmdline)

Équipe SOC Prime
16 juin 2026

Voir

Découverte suspecte de trusts de domaine (via cmdline)

Équipe SOC Prime
16 juin 2026

Voir

Vérifications d’évasion possibles (via powershell)

Équipe SOC Prime
16 juin 2026

Voir

Binaire / scripts suspects dans l’emplacement de démarrage automatique (via file_event)

Équipe SOC Prime
16 juin 2026

Voir

Abus possible de Telegram comme canal de commande et contrôle (via dns_query)

Équipe SOC Prime
16 juin 2026

Voir

Demande DNS de la communauté Steam effectuée par un processus suspect (via dns_query)

Équipe SOC Prime
16 juin 2026

Voir

IOCs (HashSha256) pour détecter : Intelligence artificielle en sécurité : Interlock et Rhysida au sein de l’écosystème ransomware Partie 3

Règles SOC Prime AI
16 juin 2026

Voir

IOCs (HashSha256) pour détecter : Intelligence artificielle en sécurité : Interlock et Rhysida au sein de l’écosystème ransomware Partie 2

Règles SOC Prime AI
16 juin 2026

Voir

IOCs (HashSha256) pour détecter : Intelligence artificielle en sécurité : Interlock et Rhysida au sein de l’écosystème ransomware Partie 1

Règles SOC Prime AI
16 juin 2026

Voir

IOCs (SourceIP) pour détecter : Intelligence artificielle en sécurité : Interlock et Rhysida au sein de l’écosystème ransomware

Règles SOC Prime AI
16 juin 2026

Voir

IOCs (DestinationIP) pour détecter : Intelligence artificielle en sécurité : Interlock et Rhysida au sein de l’écosystème ransomware

Règles SOC Prime AI
16 juin 2026

Voir

Détection du téléchargeur JunkFiction et du script PowerShell planifié [Windows Powershell]

Règles SOC Prime AI
16 juin 2026

Voir

Détection du Supper Backdoor et du téléchargeur JunkFiction [Création de processus Windows]

Règles SOC Prime AI
16 juin 2026

Voir

Détection de l’activité de NodeSnake et InterlockRAT [Création de processus Linux]

Règles SOC Prime AI
16 juin 2026

Voir

Exécution de la Simulation

Prérequis : La vérification de télémétrie et de base doit avoir réussi.

Raison : Cette section détaille l’exécution précise de la technique de l’adversaire (TTP) conçue pour déclencher la règle de détection. Les commandes et le narratif DOIVENT refléter directement les TTPs identifiés et viser à générer la télémétrie exacte attendue par la logique de détection. Des exemples abstraits ou non liés entraîneront un mauvais diagnostic.

  • Narratif de l’Attaque & Commandes : L’adversaire a réussi à compromettre le poste de travail d’un développeur via une attaque sur la chaîne d’approvisionnement (T1195.003). Ils ont déposé une charge utile malveillante Node.js nommée InterlockRAT.js dans un répertoire temporaire. L’objectif est d’établir une porte dérobée persistante pour faciliter le déplacement latéral au sein du réseau. L’attaquant exécute le script en utilisant le runtime node , en passant des arguments spécifiques pour initialiser un proxy SOCKS5 pour le tunneling du trafic. Cette commande spécifique est conçue pour déclencher la logique de détection existante.

  • Script de Test de Régression :

    # Créer un répertoire factice pour le malware
mkdir -p /tmp/malware_drop

# Créer le fichier 'malicieux' InterlockRAT.js
cat <<EOF > /tmp/malware_drop/InterlockRAT.js
// Logique de malware simulé
console.log("Initialisation de la charge utile InterlockRAT...");
EOF

# Exécuter le fichier avec les chaînes spécifiques requises pour déclencher la règle
node /tmp/malware_drop/InterlockRAT.js --mode SOCKS5 --target reverse shell 10.0.0.5

  • Commandes de Nettoyage :

    # Supprimer les fichiers et répertoires de malware simulés
rm -rf /tmp/malware_drop

Rejoignez la plateforme Detection as Code de SOC Prime pour améliorer la visibilité sur les menaces les plus pertinentes pour votre entreprise. Pour vous aider à démarrer et à générer une valeur immédiate, planifiez dès maintenant une réunion avec des experts de SOC Prime.

Rejoindre gratuitement