SOC Prime Bias: Élevé

15 Jun 2026 15:57 UTC
newspaper icon picussecurity.com

Tengu Ransomware: De l’accès initial au chiffrement

Author Photo
SOC Prime Team linkedin icon Suivre
Tengu Ransomware: De l’accès initial au chiffrement
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query


Résumé

Tengu est une opération de Ransomware-as-a-Service qui suit un modèle de double extorsion. Avant de lancer le chiffrement, les attaquants utilisent des binaires existants (Living Off the Land Binaries) pour exécuter des charges utiles et exfiltrer des données sensibles vers le stockage cloud MEGA. La communication avec les victimes et les négociations de paiement se font via un portail basé sur Tor.

Enquête

Le rapport décrit la chaîne complète d’intrusion de Tengu, en commençant par l’accès initial par hameçonnage ou par des identifiants volés et en terminant par le chiffrement des données. Il met l’accent sur l’utilisation d’utilitaires administratifs légitimes tels que PowerShell et Rclone, qui permettent aux attaquants de se fondre dans l’activité normale et de réduire les chances de détection.

Atténuation

Les équipes de sécurité doivent appliquer une authentification multi-facteurs robuste pour réduire le risque d’abus d’identifiants sur les services RDP et VPN. Les organisations doivent également surveiller l’activité suspecte des LOLBins, restreindre l’utilisation non autorisée des plateformes de stockage cloud et maintenir des sauvegardes régulières hors ligne qui peuvent soutenir la récupération.

Réponse

Si une activité Tengu est détectée, isolez immédiatement les systèmes affectés pour arrêter le mouvement latéral et l’exfiltration de données supplémentaires. Analysez les journaux d’événements Windows et les configurations de services pour détecter les modifications non autorisées, et activez les procédures de réponse aux incidents pour déterminer l’étendue de l’exposition des données et de l’activité de chiffrement.

graph TB %% Section de définition des classes classDef initial_access fill:#f9f,stroke:#333,stroke-width:2px classDef execution fill:#bbf,stroke:#333,stroke-width:2px classDef defense_impairment fill:#fbb,stroke:#333,stroke-width:2px classDef exfiltration fill:#bfb,stroke:#333,stroke-width:2px classDef impact fill:#f96,stroke:#333,stroke-width:2px classDef tool fill:#ccc,stroke:#333,stroke-width:1px %% Nœuds d’accès initial access_phishing[« <b>Action</b> – <b>T1566.002 Hameçonnage : Lien de spearphishing</b><br/>Description : Envoi de liens ciblés aux victimes pour obtenir un accès. »] class access_phishing initial_access access_exploit[« <b>Action</b> – <b>T1190 Exploitation d’une Application Accessible au Public</b><br/>Description : Exploitation de vulnérabilités dans des logiciels exposés sur Internet. »] class access_exploit initial_access access_accounts[« <b>Action</b> – <b>T1078 Comptes Valides</b><br/>Description : Utilisation d’identifiants volés pour accéder aux points de terminaison RDP ou VPN. »] class access_accounts initial_access op_initial_access((« AND »)) class op_initial_access operator %% Nœuds d’exécution et d’élévation de privilèges exec_powershell[« <b>Action</b> – <b>T1059.001 Interpréteur de Commandes et de Scripts : PowerShell</b><br/>Description : Exécution de charges utiles malveillantes via PowerShell. »] class exec_powershell execution exec_cmd[« <b>Action</b> – <b>T1059.003 Interpréteur de Commandes et de Scripts : Shell de Commandes Windows</b><br/>Description : Exécution de commandes via cmd.exe. »] class exec_cmd execution exec_rundll32[« <b>Action</b> – <b>T1218.011 Rundll32</b><br/>Description : Exécution de code malveillant via Rundll32.exe. »] class exec_rundll32 execution priv_esc_lsass[« <b>Action</b> – <b>T1003.001 Extraction d’Identifiants du Système d’Exploitation : Mémoire LSASS</b><br/>Description : Collecte d’identifiants administratifs depuis la mémoire LSASS. »] class priv_esc_lsass execution %% Nœuds de dégradation des défenses def_disable_tools[« <b>Action</b> – <b>T1562.001 Altération des Défenses : Désactiver ou Modifier les Outils</b><br/>Description : Désactivation de Windows Security Center et Windows Update via sc config. »] class def_disable_tools defense_impairment def_clear_logs[« <b>Action</b> – <b>T1070.001 Suppression d’Indicateurs : Effacer les Journaux d’Événements Windows</b><br/>Description : Suppression des preuves forensiques avec wevtutil cl *. »] class def_clear_logs defense_impairment %% Nœuds d’exfiltration exfil_cloud[« <b>Action</b> – <b>T1567.002 Exfiltration vers un Stockage Cloud</b><br/>Description : Déplacement de données sensibles vers des fournisseurs cloud. »] class exfil_cloud exfiltration tool_rclone[« <b>Outil</b> – <b>Nom</b> : Rclone / WinSCP<br/>Description : Outils légitimes utilisés pour transférer des données vers MEGA. »] class tool_rclone tool %% Nœuds d’impact impact_recovery[« <b>Action</b> – <b>T1490 Empêcher la Récupération du Système</b><br/>Description : Suppression des copies fantômes via vssadmin delete shadows /all /quiet. »] class impact_recovery impact impact_encryption[« <b>Action</b> – <b>T1486 Chiffrement des Données pour Impact</b><br/>Description : Chiffrement des fichiers avec l’extension .tengu et création de TENGU_README.txt. »] class impact_encryption impact %% Connexions access_phishing –>|mène_à| op_initial_access access_exploit –>|mène_à| op_initial_access access_accounts –>|mène_à| op_initial_access op_initial_access –>|mène_à| exec_powershell op_initial_access –>|mène_à| exec_cmd op_initial_access –>|mène_à| exec_rundll32 exec_powershell –>|active| priv_esc_lsass exec_cmd –>|active| priv_esc_lsass priv_esc_lsass –>|mène_à| def_disable_tools priv_esc_lsass –>|mène_à| def_clear_logs def_disable_tools –>|précède| exfil_cloud def_clear_logs –>|précède| exfil_cloud exfil_cloud –>|utilise| tool_rclone tool_rclone –>|mène_à| impact_recovery impact_recovery –>|mène_à| impact_encryption

Flux d’attaque

Exécution de la simulation

Prérequis : Le contrôle préalable de télémétrie et de base doit avoir été réussi.

Justification : Cette section détaille l’exécution précise de la technique de l’adversaire (TTP) conçue pour déclencher la règle de détection. Les commandes et les récits DOIVENT refléter directement les TTPs identifiés et viser à générer exactement la télémétrie attendue par la logique de détection. Des exemples abstraits ou non liés entraîneront des erreurs de diagnostic.

  • Narration d’attaque et commandes : L’adversaire vise à initier la phase de déploiement du ransomware Tengu. Pour éviter la détection par de simples signatures antivirus, ils utilisent des techniques de « Living-off-the-Land » (LotL). L’attaquant utilisera d’abord powershell.exe pour télécharger une charge utile de mise en scène, puis utilisera rundll32.exe pour exécuter une DLL malveillante. Cela imite le comportement décrit dans la chaîne d’attaque Tengu, où des binaires Windows légitimes sont utilisés de manière malveillante, tentant ainsi de se fondre dans l’activité administrative de routine.

  • Script de test de régression :

    # Script de simulation d'exécution du ransomware Tengu
# Ce script simule l'utilisation des LOLBins pour déclencher la règle de détection.

Write-Host "[*] Démarrage de la simulation d'exécution du ransomware Tengu..." -ForegroundColor Cyan

# 1. Simuler une mise en scène de charge utile via PowerShell (T1059.001)
Write-Host "[*] Simulation de la mise en scène de la charge utile PowerShell..." -ForegroundColor Yellow
powershell.exe -ExecutionPolicy Bypass -WindowStyle Hidden -Command "Write-Output 'Simulation du téléchargement d'une charge utile malveillante...'"

# 2. Simuler une reconnaissance basée sur CMD (T1059.003)
Write-Host "[*] Simulation de la reconnaissance basée sur CMD..." -ForegroundColor Yellow
cmd.exe /c "whoami /all"

# 3. Simuler l'exécution de Rundll32 (T1218.011)
Write-Host "[*] Simulation de l'exécution d'une DLL malveillante via Rundll32..." -ForegroundColor Yellow
rundll32.exe javascript:"alert('Exécution simulée de la charge utile Tengu');"

Write-Host "[+] Simulation complète. Vérifiez les alertes dans le SIEM." -ForegroundColor Green

  • Commandes de nettoyage :

    # Aucun fichier permanent ou clé de registre n'a été modifié dans cette simulation.
# Les commandes exécutées sont des processus volatils.
Write-Host "[*] Nettoyage inutile car aucun artefact persistant n'a été créé." -ForegroundColor Cyan

Rejoignez la plateforme Detection as Code de SOC Prime pour améliorer la visibilité sur les menaces les plus pertinentes pour votre entreprise. Pour vous aider à démarrer et à générer une valeur immédiate, planifiez dès maintenant une réunion avec des experts de SOC Prime.

Rejoindre gratuitement