SOC Prime Bias: Critique

10 Déc 2025 19:28
newspaper icon Acronis

Attaques par ransomware Makop sur les entreprises indiennes : Livraison par GuLoader et élévation de privilèges

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Follow
Attaques par ransomware Makop sur les entreprises indiennes : Livraison par GuLoader et élévation de privilèges
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query


Résumé

Le ransomware Makop, une souche de la famille Phobos, frappe les organisations en abusant des services Remote Desktop Protocol (RDP) exposés et utilise des utilitaires prêts à l’emploi pour la découverte, le mouvement latéral et l’élévation de privilèges. La campagne incorpore de nouveaux éléments, notamment le téléchargeur GuLoader et plusieurs exploits d’élévation de privilèges locaux. Les adversaires déploient le binaire du ransomware dans les répertoires utilisateur sous des noms de fichiers trompeurs. La menace cible principalement les entreprises indiennes, avec des activités également observées au Brésil et en Allemagne.

Investigation

L’unité de recherche sur les menaces d’Acronis a examiné les récents cas de Makop et a établi une chaîne d’attaque reproductible qui commence par des tentatives de force brute RDP, puis passe au balayage du réseau, au vidage des informations d’identification et à l’exécution de plusieurs exploits d’élévation de privilèges liés aux CVE. GuLoader a été observé comme délivrant des charges utiles secondaires telles qu’AgentTesla et FormBook. Les enquêteurs ont également documenté les outils AV-killer, les pilotes vulnérables et les désinstalleurs personnalisés utilisés pour neutraliser les solutions de sécurité.

Atténuation

Les défenses recommandées incluent l’application de l’authentification multi-facteurs sur le RDP, l’élimination de tout point d’extrémité RDP exposé à Internet, l’application de correctifs pour tous les CVE référencés, la surveillance des binaires de chargeurs connus et des utilitaires AV-killer, et l’utilisation de la détection des points d’extrémité pour bloquer l’exécution de scripts suspects. Maintenir les signatures de Windows Defender à jour et restreindre l’utilisation de pilotes non signés ou non fiables réduit davantage l’exposition aux techniques observées.

Réponse

Une fois l’activité détectée, isolez immédiatement l’hôte impacté, terminez les processus GuLoader ou de téléchargeur suspects, et capturez la mémoire volatile pour analyse. Effectuez une révision complète des éventuelles informations d’identification vidées, bloquez les hachages de fichiers malveillants connus et les noms de fichiers, et remédiez aux CVE exploités. Lorsque cela est possible, restaurez les données chiffrées à partir de sauvegardes vérifiées et alertez les équipes appropriées de réponse aux incidents et de gestion.

graph TB %% Class Definitions Section classDef action fill:#99ccff %% Node definitions initial_access_rdp[« <b>Action</b> – <b>T1021.001 Services à distance : RDP</b><br /><b>Description</b> : Connexion RDP par force brute en utilisant NLBrute »] class initial_access_rdp action defense_evasion_impair[« <b>Action</b> – <b>T1562 Compromettre les défenses</b><br /><b>Description</b> : Désactivation de Windows Defender via disable-defender.exe et exploitation de pilotes vulnérables »] class defense_evasion_impair action priv_esc_exploit[« <b>Action</b> – <b>T1068 Exploitation pour l’élévation de privilèges</b><br /><b>Description</b> : Exploitation de CVE-2017-0213, CVE-2018-8639, CVE-2021-41379, CVE-2016-0099 »] class priv_esc_exploit action discovery_remote[« <b>Action</b> – <b>T1018 Découverte de systèmes distants</b><br /><b>Description</b> : Analyse du réseau interne avec NetScan, Advanced IP Scanner et Masscan »] class discovery_remote action lateral_movement_rdp[« <b>Action</b> – <b>T1021 Services à distance</b><br /><b>Description</b> : Utilisation d’identifiants volés pour le mouvement latéral via RDP et SMB »] class lateral_movement_rdp action credential_dumping[« <b>Action</b> – <b>T1003 Vidage des informations d’identification du système d’exploitation</b><br /><b>Description</b> : Extraction des identifiants à l’aide de Mimikatz, LaZagne et NetPass »] class credential_dumping action execution_vbs[« <b>Action</b> – <b>T1059.005 Visual Basic</b><br /><b>Description</b> : Exécution du script VBS déposé par GuLoader »] class execution_vbs action impact_encrypt[« <b>Action</b> – <b>T1486 Données chiffrées pour l’impact</b><br /><b>Description</b> : Chiffrement des fichiers à l’aide du chiffreur du rançongiciel Makop »] class impact_encrypt action %% Connections showing attack flow initial_access_rdp u002du002d>|mène à| defense_evasion_impair defense_evasion_impair u002du002d>|mène à| priv_esc_exploit priv_esc_exploit u002du002d>|mène à| discovery_remote discovery_remote u002du002d>|mène à| lateral_movement_rdp lateral_movement_rdp u002du002d>|mène à| credential_dumping credential_dumping u002du002d>|mène à| execution_vbs execution_vbs u002du002d>|mène à| impact_encrypt

Flux d’attaque

Exécution de la simulation

Prérequis : La Vérification Préalable de Télémétrie & Baseline doit avoir réussi.

Raison : Cette section détaille l’exécution précise de la technique d’adversaire (TTP) conçue pour déclencher la règle de détection. Les commandes et le récit DOIVENT refléter directement les TTPs identifiés et viser à générer la télémétrie exacte attendue par la logique de détection.

  • Récit de l’attaque & Commandes :

    1. Préparation : L’attaquant obtient une version malveillante de ThrottleStop.sys qui est instrumentée pour exploiter CVE-2025-7771 pour l’élévation de privilèges.
    2. Déploiement : Le pilote est copié dans le répertoire des pilotes système (C:WindowsSystem32drivers).
    3. Exécution : En utilisant sc.exe, l’attaquant crée et démarre un service qui charge le pilote malveillant, élevant ainsi le processus à SYSTEM.
    4. Post-escalade : Avec le jeton élévé, l’attaquant peut usurper des comptes à haute-privilège (T1134.005), mais cette étape est hors du cadre de cette règle.

  • Script de Test de Régression :

    # ----------------------------------------------------------------
# Simuler l'exploitation de ThrottleStop.sys (CVE-2025-7771)
# ----------------------------------------------------------------
$driverPath = "$env:SystemRootSystem32driversThrottleStop.sys"

# 1. Déposez le pilote malveillant (ici nous utilisons une copie de remplacement)
Write-Host "[*] Copie du ThrottleStop.sys malveillant vers $driverPath"
# Dans un test réel, remplacez la source par le binaire malveillant réel
Copy-Item -Path ".malicious_ThrottleStop.sys" -Destination $driverPath -Force

# 2. Enregistrez le pilote comme un service kernel
Write-Host "[*] Création du service pour le pilote"
sc.exe create ThrottleStopSvc binPath= "$driverPath" type= kernel start= demand | Out-Null

# 3. Démarrez le pilote (déclenche Sysmon ImageLoad)
Write-Host "[*] Démarrage du service pilote"
sc.exe start ThrottleStopSvc | Out-Null

Write-Host "[+] Pilote chargé - devrait déclencher la règle de détection."
# ----------------------------------------------------------------

  • Commandes de Nettoyage :

    # Arrêtez et supprimez le service du pilote malveillant
sc.exe stop ThrottleStopSvc | Out-Null
sc.exe delete ThrottleStopSvc | Out-Null

# Supprimez le fichier du pilote
Remove-Item -Path "$env:SystemRootSystem32driversThrottleStop.sys" -Force

Write-Host "[*] Nettoyage terminé."

Rejoignez la plateforme Detection as Code de SOC Prime pour améliorer la visibilité des menaces les plus pertinentes pour votre entreprise. Pour vous aider à démarrer et générer une valeur immédiate, réservez dès maintenant une réunion avec les experts de SOC Prime.

Inscrivez-vous gratuitement