Selon Trend Micro Research, une campagne sophistiquée d’Agenda (Qilin) combine des leurres de type faux CAPTCHA, l’abus d’outils RMM légitimes et des techniques BYOVD pour déployer et exécuter un binaire de ransomware Linux sur des hôtes Windows, contournant les contrôles et EDR centrés sur Windows. Depuis janvier 2025, 591 victimes dans 58 pays ont été affectées.
L’intrusion commence par des pages de faux CAPTCHA hébergées sur l’infrastructure Cloudflare R2 distribuant des infostealers, suivies du déploiement de portes dérobées COROXY (proxies SOCKS) en multiples instances afin d’obfusquer le C2. Les attaquants ciblent ensuite de manière stratégique l’infrastructure de sauvegarde Veeam pour le vol d’identifiants via des scripts PowerShell contenant des charges Base64 et interrogeant plusieurs bases de données Veeam.
Pour l’élévation de privilèges et l’évasion, la chaîne d’attaque utilise la technique BYOVD avec des pilotes vulnérables (eskle.sys, rwdrv.sys, hlpdrv.sys). Le binaire Linux du ransomware (mmh_linux_x86-64) est transféré via WinSCP puis exécuté à travers SRManager.exe de Splashtop, avec détection de l’OS visant FreeBSD, VMware ESXi (VMkernel) et Nutanix AHV.
Le payload offre de nombreuses options en ligne de commande, maintient des listes blanches de processus, des listes noires d’extensions, et cible des chemins spécifiques à VMware ESXi pour un chiffrement axé hyperviseur. Les outils RMM AnyDesk et ScreenConnect figurent également dans la chaîne d’abus, renforçant la capacité de mouvement et d’exécution transplateforme. 🧩
IOCs (extraits cités):
- Pilotes vulnérables BYOVD: eskle.sys, rwdrv.sys, hlpdrv.sys
- Binaire ransomware: mmh_linux_x86-64
- Processus utilisé pour l’exécution: SRManager.exe (Splashtop)
- Backdoor proxy: COROXY (proxies SOCKS)
TTPs observées:
- Ingénierie sociale via faux CAPTCHA (Cloudflare R2) pour la livraison d’infostealers
- Abus d’outils RMM légitimes (WinSCP, Splashtop, AnyDesk, ScreenConnect)
- BYOVD (Bring Your Own Vulnerable Driver) pour évasion et élévation
- Exfiltration/vol d’identifiants Veeam via scripts PowerShell Base64 et accès BDD
- Exécution de binaire Linux sur Windows, ciblage d’hyperviseurs (VMware ESXi, Nutanix AHV), whitelists/blacklists et options CLI étendues
Type d’article: analyse de menace visant à documenter la chaîne d’attaque, les outils et techniques, ainsi que l’ampleur de l’impact.
🧠 TTPs et IOCs détectés
TTPs
[‘Ingénierie sociale via faux CAPTCHA pour la livraison d’infostealers’, ‘Abus d’outils RMM légitimes (WinSCP, Splashtop, AnyDesk, ScreenConnect)’, ‘BYOVD (Bring Your Own Vulnerable Driver) pour évasion et élévation’, ‘Exfiltration/vol d’identifiants Veeam via scripts PowerShell Base64 et accès BDD’, ‘Exécution de binaire Linux sur Windows’, ‘Ciblage d’hyperviseurs (VMware ESXi, Nutanix AHV)’, ‘Utilisation de whitelists/blacklists et options CLI étendues’]
IOCs
[‘Pilotes vulnérables BYOVD: eskle.sys, rwdrv.sys, hlpdrv.sys’, ‘Binaire ransomware: mmh_linux_x86-64’, ‘Processus utilisé pour l’exécution: SRManager.exe (Splashtop)’, ‘Backdoor proxy: COROXY (proxies SOCKS)’]
🔗 Source originale : https://www.trendmicro.com/en_us/research/25/j/agenda-ransomware-deploys-linux-variant-on-windows-systems.html