SOC Prime Bias: Critique

16 Jun 2026 12:58 UTC

Interlock et Rhysida : L’IA dans l’écosystème des ransomwares

Author Photo
SOC Prime Team linkedin icon Suivre
Interlock et Rhysida : L’IA dans l’écosystème des ransomwares
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Résumé

La recherche IBM X-Force met en évidence un lien fort entre les écosystèmes ransomware Interlock (Hive0163) et Rhysida. Le rapport décrit un réseau complexe de familles de logiciels malveillants partagées, de crypteurs spécialisés et de brokers d’accès initial coordonnés. Interlock semble être un groupe de menaces très mature utilisant des outils personnalisés comme NodeSnake et InterlockRAT, et il pourrait avoir évolué à partir d’opérateurs précédemment associés à Rhysida.

Enquête

X-Force a mené des recherches à long terme sur plus de deux ans, analysant des échantillons de logiciels malveillants, des chaînes d’attaque et des infrastructures de mise en scène. L’enquête a révélé d’importantes similitudes de code entre plusieurs portes dérobées et a suivi le développement de crypteurs dédiés tels que JunkFiction et Tomb. Les chercheurs ont également cartographié les liens entre les acteurs de la menace et les brokers d’accès initial à travers l’infrastructure et l’utilisation d’outils qui se chevauchent.

Atténuation

Les organisations devraient déployer des capacités de détection et de réponse aux points de terminaison robustes pour identifier les comportements de processus suspects, y compris une activité PowerShell inattendue et des changements de registre non autorisés. Le correctif immédiat des appareils réseau exposés à Internet est essentiel pour réduire le risque d’exploitation, y compris les vulnérabilités telles que CVE-2026-20131. L’application stricte des contrôles WDAC et la surveillance de l’activité des outils RMM non approuvés peuvent également limiter les opérations après compromettre.

Réponse

Si une activité d’Interlock ou de Rhysida est suspectée, isolez immédiatement les systèmes impactés pour arrêter le déplacement latéral via des tunnels RDP ou SOCKS5. Menez un examen approfondi de l’infrastructure de mise en scène et vérifiez la présence d’outils de gestion à distance non autorisés tels que ConnectWise ScreenConnect. Passez en revue les journaux pour des exécutions PowerShell suspectes et enquêtez sur tout changement non autorisé concernant les tâches planifiées ou les services systemd.

Flux d’Attaque

Détection

Points de persistance possibles [ASEPs – Software/NTUSER Hive] (via registry_event)

Équipe SOC Prime
16 juin 2026

Téléchargement ou téléversement via Powershell (via cmdline)

Équipe SOC Prime
16 juin 2026

Énumération possible du système (via cmdline)

Équipe SOC Prime
16 juin 2026

Découverte possible de systèmes distants ou vérification de connectivité (via cmdline)

Équipe SOC Prime
16 juin 2026

Énumération possible de comptes administratifs ou de groupes (via cmdline)

Équipe SOC Prime
16 juin 2026

Découverte suspecte de trusts de domaine (via cmdline)

Équipe SOC Prime
16 juin 2026

Vérifications d’évasion possibles (via powershell)

Équipe SOC Prime
16 juin 2026

Binaire / scripts suspects dans l’emplacement de démarrage automatique (via file_event)

Équipe SOC Prime
16 juin 2026

Abus possible de Telegram comme canal de commande et contrôle (via dns_query)

Équipe SOC Prime
16 juin 2026

Demande DNS de la communauté Steam effectuée par un processus suspect (via dns_query)

Équipe SOC Prime
16 juin 2026

IOCs (HashSha256) pour détecter : Intelligence artificielle en sécurité : Interlock et Rhysida au sein de l’écosystème ransomware Partie 3

Règles SOC Prime AI
16 juin 2026

IOCs (HashSha256) pour détecter : Intelligence artificielle en sécurité : Interlock et Rhysida au sein de l’écosystème ransomware Partie 2

Règles SOC Prime AI
16 juin 2026

IOCs (HashSha256) pour détecter : Intelligence artificielle en sécurité : Interlock et Rhysida au sein de l’écosystème ransomware Partie 1

Règles SOC Prime AI
16 juin 2026

IOCs (SourceIP) pour détecter : Intelligence artificielle en sécurité : Interlock et Rhysida au sein de l’écosystème ransomware

Règles SOC Prime AI
16 juin 2026

IOCs (DestinationIP) pour détecter : Intelligence artificielle en sécurité : Interlock et Rhysida au sein de l’écosystème ransomware

Règles SOC Prime AI
16 juin 2026

Détection du téléchargeur JunkFiction et du script PowerShell planifié [Windows Powershell]

Règles SOC Prime AI
16 juin 2026

Détection du Supper Backdoor et du téléchargeur JunkFiction [Création de processus Windows]

Règles SOC Prime AI
16 juin 2026

Détection de l’activité de NodeSnake et InterlockRAT [Création de processus Linux]

Règles SOC Prime AI
16 juin 2026

Exécution de la Simulation

Prérequis : La vérification de télémétrie et de base doit avoir réussi.

Raison : Cette section détaille l’exécution précise de la technique de l’adversaire (TTP) conçue pour déclencher la règle de détection. Les commandes et le narratif DOIVENT refléter directement les TTPs identifiés et viser à générer la télémétrie exacte attendue par la logique de détection. Des exemples abstraits ou non liés entraîneront un mauvais diagnostic.

  • Narratif de l’Attaque & Commandes : L’adversaire a réussi à compromettre le poste de travail d’un développeur via une attaque sur la chaîne d’approvisionnement (T1195.003). Ils ont déposé une charge utile malveillante Node.js nommée InterlockRAT.js dans un répertoire temporaire. L’objectif est d’établir une porte dérobée persistante pour faciliter le déplacement latéral au sein du réseau. L’attaquant exécute le script en utilisant le runtime node , en passant des arguments spécifiques pour initialiser un proxy SOCKS5 pour le tunneling du trafic. Cette commande spécifique est conçue pour déclencher la logique de détection existante.

  • Script de Test de Régression :

    # Créer un répertoire factice pour le malware
    mkdir -p /tmp/malware_drop
    
    # Créer le fichier 'malicieux' InterlockRAT.js
    cat <<EOF > /tmp/malware_drop/InterlockRAT.js
    // Logique de malware simulé
    console.log("Initialisation de la charge utile InterlockRAT...");
    EOF
    
    # Exécuter le fichier avec les chaînes spécifiques requises pour déclencher la règle
    node /tmp/malware_drop/InterlockRAT.js --mode SOCKS5 --target reverse shell 10.0.0.5
  • Commandes de Nettoyage :

    # Supprimer les fichiers et répertoires de malware simulés
    rm -rf /tmp/malware_drop