Intrusion liée à plusieurs gangs ransomware: faux EarthTime → SectopRAT, SystemBC, Betruger, exfiltration via FTP

Source: The DFIR Report (Threat Brief initial publié en mars 2025). Contexte: une intrusion démarrée en septembre 2024 par exécution d’un faux installeur EarthTime, conduisant au déploiement de SectopRAT, puis SystemBC pour le tunneling/proxy, et plus tard du backdoor Betruger. L’attaquant a réalisé reconnaissance, escalade, mouvements latéraux via RDP/Impacket, collecte et exfiltration de données, avant éjection, avec des indices reliant Play, RansomHub et DragonForce.

• Point d’entrée et persistance: exécution d’un binaire EarthTime.exe signé avec un certificat révoqué, injectant SectopRAT via MSBuild.exe. Persistance par BITS (copie vers Roaming/QuickAgent2 en ChromeAlt_dbg.exe + lien Startup), création d’un compte local “Admon” (Qwerty12345!) avec privilèges admin. Déploiement de SystemBC (WakeWordEngine.dll/conhost.dll) depuis C:\Users\Public\Music\ via rundll32.

• Reconnaissance, mouvements et accès: usage de AdFind, SharpHound, SoftPerfect NetScan, Grixba (GT_NET.exe/GRB_NET.exe); RDP comme vecteur principal (via tunnel SystemBC), et Impacket wmiexec. Exécution sur DC/serveurs (dont backup/file servers), DCSync sur DC, PsExec en SYSTEM, récupération de crédentiels Veeam via PowerShell, accès LSASS (Betruger). Défense: désactivation Defender, timestomping, masquerading (métadonnées Avast/SentinelOne).

• Collection et exfiltration: WinRAR pour archiver des partages sensibles; WinSCP pour transférer les archives via FTP en clair vers un hôte cloud US (exfil ~15 min). Filtrage ciblé (web/config/scripts/code source) via WinSCP.ini. Dépôt de fichiers de listing/collecte (FS64.exe), ouverture de documents dont police cyber.

• Liens avec plusieurs opérations ransomware: présence de Grixba (lié à Play), usage de Betruger (associé à RansomHub), et artefacts NetScan d’une entreprise listée sur le DLS de DragonForce. Aucune phase chiffrage observée avant éjection, mais l’objectif probable était le déploiement de ransomware; le profil correspond à un affilié multi-programmes RaaS.

• IOCs réseau et artefacts clés:

• SectopRAT C2: 45.141.87.55 (ports 15647, 9000) • SystemBC C2: 149.28.101.219:443 • Betruger C2: 504e1c95.host.njalla[.]net, 80.78.28.149 • FTP exfil: 144.202.61.209
• Binaires/chemins: C:\Users\Public\Music\WakeWordEngine.dll (SystemBC), conhost.dll, C:\Users\Public\Music\ccs.exe (Betruger), EarthTime.exe (Downloads), ChromeAlt_dbg.lnk/ChromeAlt_dbg.exe (BITS), sh.exe (SharpHound), GT_NET.exe/GRB_NET.exe (Grixba), netscan.exe, WinRAR/WinSCP.
• Hashes (extraits): earthtime.exe: 71f703024c3d3bfc409f66bb61f971a0…; wakewordengine.dll: e963d598a86c5ee428a2eefa34d1ffbb…; ccs.exe (Betruger): 5675a7773f6d3224bfefdc01745f8411…

• TTPs MITRE ATT&CK (sélection):

• Initial access/exécution: T1204.002 Malicious File, T1127.001 MSBuild
• Persistance/évasion: T1547.001 Startup, T1136.001 Create Account, T1562.001 Disable/Modify Tools, T1036 Masquerading, T1070.006 Timestomp
• Mouvements/C2: T1021.001 RDP, T1569.002 Service Execution (PsExec), T1047 WMI (wmiexec), T1090 Proxy, T1572 Protocol Tunneling, T1071.001 Web Protocols
• Accès identifiants: T1003.006 DCSync, T1003.001 LSASS, T1555 Password Stores (Veeam)
• Découverte/Collecte/Exfil: T1046 Network Discovery, T1059.001 PowerShell, T1119 Automated Collection, T1560.001 Archive via Utility, T1048 Exfiltration over Alternative Protocol (FTP)

Type d’article: rapport d’incident/brief DFIR visant à documenter la chaîne d’intrusion, les outils, IOCs et TTPs associés.

---

🔗 Source originale : https://thedfirreport.com/2025/09/08/blurring-the-lines-intrusion-shows-connection-with-three-major-ransomware-gangs/