Selon Seqrite (blog sécurité de Quick Heal), cette analyse décrit des campagnes de rançongiciel qui abusent d’outils d’accès à distance légitimes afin de s’infiltrer, rester furtifs et déployer la charge utile au sein d’environnements d’entreprise.
• Les acteurs exploitent des RAT légitimes (AnyDesk, UltraViewer, RustDesk, Splashtop) souvent signés et whitelistés, ce qui leur permet de se fondre dans les opérations IT. L’étude retrace une kill chain en 7 étapes: (1) Accès initial via compromission d’identifiants avec séquence d’événements Windows 4625→4624; (2) Déploiement silencieux des outils (flags comme /VERYSILENT et /S); (3) Persistance via clés de registre (HKCU\Software\Microsoft\Windows\CurrentVersion\Run), tâches planifiées, et élévation SYSTEM (ex. PowerRun); (4) Neutralisation de l’antivirus par arrêt de services (sc stop, net stop), manipulation de politiques et purge de logs (wevtutil cl); (5) Livraison de la charge utile via les canaux RAT; (6) Mouvement latéral par réutilisation d’identifiants et propagation des RAT; (7) Impact par chiffrement et verrouillage des systèmes.
• Des campagnes réelles associées à des familles comme LockBit, Dharma et Phobos sont mentionnées. Les activités malveillantes se confondent avec l’administration légitime, compliquant la détection et la réponse 🔍.
• Mappage MITRE ATT&CK: T1110.001 (Brute Force), T1105 (Ingress Tool Transfer), T1547.001 (Registry Run Keys/Startup Folder), T1548.002 (Abuse Elevation Control), T1562.001 (Impair Defenses), T1486 (Data Encrypted for Impact).
• Indicateurs et artefacts observables (IOCs/TTPs):
- Modèles d’installation silencieuse: /VERYSILENT, /S
- Modifications registre: HKCU\Software\Microsoft\Windows\CurrentVersion\Run
- Commandes d’entrave/défense: sc stop, net stop, wevtutil cl
- Processus RAT avec privilèges élevés; anomalies de journaux (séquence 4625→4624)
- Outils ciblés: AnyDesk, UltraViewer, RustDesk, Splashtop
• Détection/veille: l’analyse recommande une corrélation comportementale sur l’ensemble de la chaîne, la surveillance des connexions sortantes, et le suivi croisé d’événements suspects pour repérer l’abus d’outils légitimes. L’article est une analyse de menace visant à documenter TTPs et indicateurs autour de l’abus de RAT par des opérateurs de ransomware.
🧠 TTPs et IOCs détectés
TTPs
T1110.001 (Brute Force), T1105 (Ingress Tool Transfer), T1547.001 (Registry Run Keys/Startup Folder), T1548.002 (Abuse Elevation Control), T1562.001 (Impair Defenses), T1486 (Data Encrypted for Impact)
IOCs
Modèles d’installation silencieuse: /VERYSILENT, /S; Modifications registre: HKCU\Software\Microsoft\Windows\CurrentVersion\Run; Commandes d’entrave/défense: sc stop, net stop, wevtutil cl; Processus RAT avec privilèges élevés; Anomalies de journaux (séquence 4625→4624); Outils ciblés: AnyDesk, UltraViewer, RustDesk, Splashtop
🔗 Source originale : https://www.seqrite.com/blog/exploiting-legitimate-remote-access-tools-in-ransomware-campaigns/