Selon Acronis, des tendances récentes montrent une préférence des attaquants pour des approches simples et peu coûteuses, avec un accès initial via RDP et l’usage d’outillage prêt à l’emploi pour progresser dans les réseaux compromis.
L’analyse souligne que la plupart des victimes sont compromises par RDP. Après l’accès initial, les acteurs utilisent des outils standards pour la découverte et le mouvement latéral, ainsi que des exploits d’escalade de privilèges (LPE), des AV killers (notamment via des drivers vulnérables), des terminateurs de processus, des désinstalleurs ciblés et des outils d’accès aux identifiants comme Mimikatz.
Point notable, l’usage ponctuel de GuLoader a été observé. Ce chargeur, repéré fin 2019, sert à déposer des charges de deuxième étape et est connu pour diffuser des malwares tels que AgentTesla, FormBook, XLoader et Lokibot.
TTPs observés (exemples) :
- Accès initial : Exposition/abus RDP 🔐
- Découverte et mouvement latéral : scanners réseau, outils off-the-shelf 🔎
- Escalade de privilèges : exploits LPE 🧰
- Défense évasion : AV killers via drivers vulnérables, terminaison de processus, désinstallation ciblée 🛡️
- Accès aux identifiants : Mimikatz 🔑
- Déploiement de charges secondaires : GuLoader pour livrer d’autres malwares 📦
Malwares mentionnés (familles) : GuLoader, AgentTesla, FormBook, XLoader, Lokibot.
Type d’article: analyse de menace visant à décrire les techniques privilégiées par les attaquants et les familles de malwares associées.
🧠 TTPs et IOCs détectés
TTPs
[‘Initial Access: Exploitation of Remote Services (T1133) - RDP’, ‘Discovery: Network Service Scanning (T1046)’, ‘Lateral Movement: Remote Services (T1021)’, ‘Privilege Escalation: Exploitation for Privilege Escalation (T1068)’, ‘Defense Evasion: Disable or Modify Tools (T1562.001) - AV Killers via Vulnerable Drivers’, ‘Defense Evasion: Process Termination (T1489)’, ‘Credential Access: OS Credential Dumping (T1003) - Mimikatz’, ‘Execution: User Execution (T1204) - GuLoader’]
🔗 Source originale : https://www.acronis.com/en/tru/posts/makop-ransomware-guloader-and-privilege-escalation-in-attacks-against-indian-businesses/