Trend Micro dissèque une attaque du groupe Warlock combinant mouvement latéral, tunneling multi-outils, BYOVD via NSecKrnl.sys et déploiement de ransomware par GPO.

🔍 Contexte

Cet article publié le 21 mars 2026 par Trend Micro Research constitue une analyse technique approfondie d’une campagne d’attaque attribuée au groupe Warlock. Il documente une chaîne d’attaque complète allant de l’accès initial jusqu’au déploiement de ransomware à l’échelle du domaine Active Directory.

🚪 Accès initial et mouvement latéral

Suivant l’accès initial, les acteurs de la menace ont réalisé un mouvement latéral extensif via des outils d’administration légitimes et de l’abus de credentials :

  • Réinitialisation du mot de passe du compte Administrateur intégré
  • Ajout d’un utilisateur de domaine au groupe Domain Administrators
  • Utilisation de PsExec (via PSEXESVC) pour l’exécution de commandes à distance
  • Installation de TightVNC 2.8.85 via MSIEXEC pour le contrôle à distance
  • Activation de PSRemoting pour l’exécution de commandes PowerShell distantes
  • Utilisation d’un RDP Patcher/Wrapper pour permettre des sessions RDP concurrentes sur des éditions non-serveur de Windows

🌐 Commande et contrôle (C2)

Les attaquants ont déployé un arsenal de tunneling et d’agents C2 :

  • Velociraptor v0.73.4 (outil DFIR légitime détourné) déguisé en v4.msi, hébergé sur Supabase
  • VS Code CLI (tunnel service mode) pour établir un canal C2 discret se fondant dans le trafic développeur
  • Cloudflare Tunnel (cloudflared) installé comme service persistant Windows avec token d’authentification, et tunnel rapide vers http://127.0.0.1:80
  • Yuze : nouvel outil open-source de tunneling en C, utilisé en mode reverse SOCKS5 proxy vers 198.13.158.193 sur les ports 80, 443 et 53
  • wssocks.exe : payload .NET exécuté en mémoire via [Reflection.Assembly]::Load() et EntryPoint.Invoke(), hébergé sur catbox.moe

🛡️ Évasion de défense (BYOVD)

Les attaquants ont utilisé une technique BYOVD (Bring Your Own Vulnerable Driver) persistante :

  • Le fichier TrendSecurity.exe (loader renommé) exploite le driver vulnérable NSecKrnl.sys pour terminer les processus de sécurité au niveau kernel
  • Déployé via GPO sur l’ensemble de l’environnement compromis
  • Cible plus de 30 processus de vendors majeurs : TrendAI, CrowdStrike, Microsoft Defender, Symantec
  • L’outil NSec-Killer est disponible publiquement sur GitHub mais a été personnalisé

📤 Exfiltration

rclone.exe renommé en TrendFileSecurityCheck.exe est utilisé pour exfiltrer des données vers un bucket S3 contrôlé par l’attaquant, ciblant des fichiers de types : PDF, DWG, DXF, DOCX, XLSX, STEP, STL, IPT, IGES, etc. (max 2000 Mo, 500 jours d’ancienneté).

💥 Impact : déploiement du ransomware

  • Les composants ransomware sont stagés dans SYSVOL et NETLOGON pour réplication automatique sur tous les DC
  • Le payload principal est run.dll exportant la fonction RunCryptor
  • Exécution via rundll32, run.exe ou directement depuis SYSVOL
  • Déclenchement automatique au démarrage via GPO (script CentralStartup.cmd)
  • Note de rançon déposée : lockdatareadme.txt

📌 Type d’article

Il s’agit d’une analyse technique publiée par Trend Micro Research, visant à documenter et partager les TTPs détaillées du groupe Warlock pour permettre la détection et la réponse à incident.

🧠 TTPs et IOCs détectés

Acteurs de menace

  • Warlock (cybercriminal)

TTP

  • T1021.001 — Remote Services: Remote Desktop Protocol (Lateral Movement)
  • T1021.006 — Remote Services: Windows Remote Management (Lateral Movement)
  • T1021.002 — Remote Services: SMB/Windows Admin Shares (Lateral Movement)
  • T1569.002 — System Services: Service Execution (Execution)
  • T1059.001 — Command and Scripting Interpreter: PowerShell (Execution)
  • T1620 — Reflective Code Loading (Defense Evasion)
  • T1055 — Process Injection (Defense Evasion)
  • T1562.001 — Impair Defenses: Disable or Modify Tools (Defense Evasion)
  • T1014 — Rootkit (Defense Evasion)
  • T1068 — Exploitation for Privilege Escalation (Privilege Escalation)
  • T1078 — Valid Accounts (Defense Evasion)
  • T1136.002 — Create Account: Domain Account (Persistence)
  • T1098 — Account Manipulation (Persistence)
  • T1572 — Protocol Tunneling (Command and Control)
  • T1090.001 — Proxy: Internal Proxy (Command and Control)
  • T1090.003 — Proxy: Multi-hop Proxy (Command and Control)
  • T1102 — Web Service (Command and Control)
  • T1071.001 — Application Layer Protocol: Web Protocols (Command and Control)
  • T1071.004 — Application Layer Protocol: DNS (Command and Control)
  • T1041 — Exfiltration Over C2 Channel (Exfiltration)
  • T1567.002 — Exfiltration Over Web Service: Exfiltration to Cloud Storage (Exfiltration)
  • T1486 — Data Encrypted for Impact (Impact)
  • T1484.001 — Domain Policy Modification: Group Policy Modification (Defense Evasion)
  • T1543.003 — Create or Modify System Process: Windows Service (Persistence)
  • T1036.005 — Masquerading: Match Legitimate Name or Location (Defense Evasion)
  • T1105 — Ingress Tool Transfer (Command and Control)
  • T1112 — Modify Registry (Defense Evasion)
  • T1003 — OS Credential Dumping (Credential Access)

IOC

  • IPv4 : 198.13.158.193
  • Domaines : vdfccjpnedujhrzscjtq.supabase.co
  • Domaines : litter.catbox.moe
  • Domaines : files.catbox.moe
  • Domaines : blnwx.com
  • URLs : https://www.tightvnc.com/download/2.8.85/tightvnc-2.8.85-gpl-setup-64bit.msi
  • URLs : https://vdfccjpnedujhrzscjtq.supabase.co/storage/v1/object/public/image/v4.msi
  • URLs : https://vscode.download.prss.microsoft.com/dbazure/download/insider/09401e712d4ffa5e497787978fe90c1557a0092b/vscode_cli_win32_x64_cli.zip
  • URLs : https://litter.catbox.moe/zqqxb3.txt
  • URLs : https://files.catbox.moe/wzsjlw.dll
  • URLs : https://litter.catbox.moe/uaw2gm.txt
  • Fichiers : v4.msi
  • Fichiers : TrendSecurity.exe
  • Fichiers : TrendFileSecurityCheck.exe
  • Fichiers : NSecKrnl.sys
  • Fichiers : run.dll
  • Fichiers : run.exe
  • Fichiers : run.bat
  • Fichiers : CentralStartup.cmd
  • Fichiers : lockdatareadme.txt
  • Fichiers : yuze.dll
  • Fichiers : wssocks.exe
  • Fichiers : code.zip
  • Fichiers : code-insiders.exe
  • Fichiers : cloudflared.exe
  • Fichiers : wzsjlw.dll
  • Chemins : C:\Windows\PSEXEC*.key
  • Chemins : C:\ProgramData\Microsoft\AppV\code.zip
  • Chemins : C:\Program Files (x86)\cloudflared\cloudflared.exe
  • Chemins : C:\users\public\TrendSecurity.exe
  • Chemins : C:\users\public\run.dll
  • Chemins : C:\users\public\run.exe
  • Chemins : C:\windows\debug\code-insiders.exe

Malware / Outils

  • Warlock Ransomware (run.dll/RunCryptor) (ransomware)
  • TightVNC (tool)
  • PsExec (tool)
  • Velociraptor (framework)
  • VS Code CLI Tunnel (tool)
  • Cloudflare Tunnel (cloudflared) (tool)
  • Yuze (tool)
  • wssocks (tool)
  • rclone (tool)
  • NSec-Killer (BYOVD loader) (loader)
  • RDP Patcher/Wrapper (tool)

🔗 Source originale : https://www.trendmicro.com/en_us/research/26/c/dissecting-a-warlock-attack.html