Selon Forcepoint X-Labs (blog Forcepoint), une campagne de phishing à fort volume abuse de fichiers raccourcis Windows (.lnk) déguisés en documents (« Your Document ») pour déposer le ransomware GLOBAL GROUP via la botnet Phorpiex, avec une exécution discrète et sans C2.

• Chaîne d’attaque 🧵

  • Le mail joint un .lnk masqué (ex. Document.doc.lnk) avec icône empruntée à shell32.dll, s’appuyant sur le masquage des extensions Windows.
  • Au clic, le .lnk lance cmd.exe puis PowerShell qui télécharge et écrit un binaire (ex. C:\Windows\windrv.exe; dans l’échantillon: %userprofile%\windrv.exe) depuis 178[.]16[.]54[.]109 (spl.exe), puis l’exécute (Start-Process).
  • Le ransomware s’exécute localement, sans trafic réseau visible, et procède au chiffrement.

• Particularités de GLOBAL GROUP 🔒

  • Fonctionnement entièrement « muet »: pas de C2, clé générée localement, aucune exfiltration malgré les affirmations de la note.
  • Chiffrement par ChaCha20‑Poly1305; fichiers suffixés .Reco; note README.Reco.txt; changement de fond d’écran.
  • Lance une instance détachée de lui‑même pour le chiffrement; supprime les clichés instantanés; efface/altère les journaux d’événements.

• Comportements et persistance 🧪

  • Temporisation/effacement: ping 127.0.0.7 -n 3 (~3 s) puis auto‑suppression du binaire pour réduire les artefacts.
  • Anti‑VM/anti‑analyse: énumération et blocage d’outils d’analyse; arrêt de processus de bases de données pour libérer les verrous avant chiffrement.
  • Persistance: copie en %windir%\Temp\cleanup.exe; création d’un service (démarrage à la demande); tâche planifiée « CoolTask » lancée au démarrage en SYSTEM, déclenchée immédiatement puis supprimée (la persistance demeure via le service).
  • Mouvement latéral: usage d’ACTIVEDS.dll (requêtes LDAP) pour inventorier AD et déployer via services distants; ADVAPI32.dll pour usurpation d’identité/élévation jusqu’à admin de domaine; manipulation/effacement des logs.

• Indicateurs et artefacts d’identification 🧩

  • Mutex: Global\Fxo16jmdgujs437
  • Marqueur de fichier chiffré: xcrydtednotstill_amazingg_time!!
  • Extension de chiffrement: .Reco; note: README.Reco.txt; portail de contact via site onion Tor.
  • Métadonnées: modèle .LNK daté de mai 2024 (réutilisation probable ou infrastructure dormante).

• IOCs

  • Pièce jointe: Document.zip.lnk — SHA256: 70a4afab44d6a9ecd7f42ab77972be074dec8383a47a2011eb0133a230a4fae3
  • Téléchargements: http://178[.]16[.]54[.]109/spl.exe | http://178[.]16[.]54[.]109/lfuck.exe
  • Hash: spl.exe — SHA256: 55f3a2d89485bb40ea45e5fa1f24828f71a81ef4ccc541b6657fc7a861ef3add
  • Artefacts: windrv.exe (déguisé), README.Reco.txt, extension .Reco, mutex Global\Fxo16jmdgujs437, marqueur xcrydtednotstill_amazingg_time!!

• TTPs (principaux)

  • Initial Access: phishing avec .LNK à double extension + icône leurre (shell32.dll).
  • Execution: cmd.exe → PowerShell (download‑execute) ; LotL.
  • Defense Evasion: exécution discrète, ping‑delay + auto‑suppression, anti‑VM/anti‑analyse, nettoyage des journaux.
  • Persistence: service cleanup.exe (%windir%\Temp), tâche planifiée « CoolTask » (SYSTEM) puis suppression de la tâche.
  • Discovery/Impact: énumération de processus et AD (LDAP), arrêt de DB, suppression des shadow copies, chiffrement ChaCha20‑Poly1305.
  • Lateral Movement/Privilege Escalation: services distants, ADVAPI32.dll (usurpation/élévation), propagation type ver.

Protection Statement (de l’éditeur): les leurres (.lnk) sont bloqués par l’analytique email/web; les hachages des charges malveillantes sont ajoutés à leur base.

Il s’agit d’une analyse de menace détaillant une campagne Phorpiex et le fonctionnement du ransomware GLOBAL GROUP, avec un objectif de documentation technique, d’attribution des comportements et de partage d’IOCs/TTPs.

🧠 TTPs et IOCs détectés

TTP

[‘Initial Access: phishing avec .LNK à double extension + icône leurre (shell32.dll)’, ‘Execution: cmd.exe → PowerShell (download-execute); LotL’, ‘Defense Evasion: exécution discrète, ping-delay + auto-suppression, anti-VM/anti-analyse, nettoyage des journaux’, ‘Persistence: service cleanup.exe (%windir%\Temp), tâche planifiée « CoolTask » (SYSTEM) puis suppression de la tâche’, ‘Discovery/Impact: énumération de processus et AD (LDAP), arrêt de DB, suppression des shadow copies, chiffrement ChaCha20-Poly1305’, ‘Lateral Movement/Privilege Escalation: services distants, ADVAPI32.dll (usurpation/élévation), propagation type ver’]

IOC

{‘hashes’: [‘70a4afab44d6a9ecd7f42ab77972be074dec8383a47a2011eb0133a230a4fae3’, ‘55f3a2d89485bb40ea45e5fa1f24828f71a81ef4ccc541b6657fc7a861ef3add’], ‘domains’: [], ‘ips’: [‘178.16.54.109’]}

🔗 Source originale : https://www.forcepoint.com/blog/x-labs/phorpiex-global-group-ransomware-lnk-phishing