Selon At-Bay, dans un cas observé, un utilisateur a été piégé par un empoisonnement SEO et a téléchargé une version trojanisée de PuTTY.exe, ouvrant la voie à Rhysida pour obtenir l’accès et la persistance au sein du réseau.
L’acteur s’est ensuite déplacé latéralement via RDP (Remote Desktop Protocol), et a effectué une découverte réseau en s’appuyant sur l’outil Advanced Port Scanner.
La phase d’exfiltration a été réalisée via des commandes azcopy, transférant avec succès plus de 100 000 fichiers vers un stockage Azure contrôlé par l’attaquant 📤.
Avant le déploiement du ransomware, l’acteur a procédé à l’effacement des journaux de sécurité sur de nombreux systèmes 🧹.
TTPs observés:
- Vector initial: empoisonnement SEO menant à un PuTTY.exe trojanisé 🪤
- Accès/persistance: Rhysida dans l’environnement compromis
- Mouvement latéral: RDP
- Découverte réseau: Advanced Port Scanner 🔍
- Exfiltration: azcopy vers Azure Storage (contrôlé par l’attaquant), >100 000 fichiers transférés
- Anti-forensic: nettoyage des journaux de sécurité
Type: rapport d’incident visant à documenter la chaîne d’intrusion et les TTPs observés.
🔗 Source originale : https://www.at-bay.com/threat-research/rhysida-evading-detection/
🖴 Archive : https://web.archive.org/web/20250907195009/https://www.at-bay.com/threat-research/rhysida-evading-detection/