Des attaques récentes attribuées au ransomware Trigona ont mis en évidence l’utilisation d’un outil de ligne de commande personnalisé pour accomplir l’exfiltration de données de manière plus rapide et efficace dans des environnements compromis.
Ce logiciel a été observé lors d’attaques en mars, lié à un affilié d’un groupe criminel. Il semble que ce choix vise à éviter les outils disponibles publiquement, tels que Rclone et MegaSync, qui déclenchent généralement les solutions de sécurité.
Les chercheurs de la société de cybersécurité Symantec suggèrent que cette transition vers un outil sur mesure pourrait être le signe que les attaquants investissent du temps et des efforts dans un malware propriétaire afin de maintenir un profil plus discret pendant les phases critiques de leurs actions.
Dans un rapport récent, les experts ont désigné l’outil sous le nom de “uploader_client.exe”. Il se connecte à une adresse de serveur codée en dur et présente des caractéristiques d’exfiltration et d’évasion de sécurité, notamment :
- Support de cinq connexions simultanées par fichier pour une exfiltration plus rapide grâce à des téléchargements parallèles.
- Rotation des connexions TCP après 2 Go de trafic pour échapper à la surveillance.
- Option d’exfiltration sélective par type de fichier, excluant les fichiers médias lourds et de faible valeur.
- Utilisation d’une clé d’authentification pour restreindre l’accès aux données volées par des tiers.
Lors d’un incident, cet outil a permis le vol de documents précieux, tels que des factures et des fichiers PDF, stockés sur des disques réseau.
Lancé en octobre 2022, le ransomware Trigona opère selon un modèle de double extorsion, exigeant que ses victimes paient des rançons en Monero, une cryptomonnaie.
Bien que des activistes cybernétiques ukrainiens aient perturbé les opérations de Trigona en octobre 2023 en piratant ses serveurs et en dérobant des données internes telles que le code source et des enregistrements de base de données, le rapport de Symantec indique que les acteurs de la menace ont repris leurs activités.
D’après les observations des récentes attaques Trigona, les acteurs malveillants installent le logiciel Huorong Network Security Suite sous forme de service de pilote de noyau. Cela s’accompagne du déploiement d’autres outils capables de désactiver des produits de sécurité comme PCHunter, Gmer, YDark, WKTools, DumpGuard, et StpProcessMonitorByovd.
De nombreuses pièces logicielles exploitent des pilotes de noyau vulnérables pour mettre fin aux processus de protection des points d’extrémité, explique Symantec.
Certaines de ces utilitaires ont été exécutés avec PowerRun, un outil permettant de lancer des applications, des exécutables et des scripts avec des privilèges élevés, contournant ainsi les protections au niveau utilisateur. Pour un accès direct aux systèmes compromis, AnyDesk a été employé, tandis que Mimikatz et Nirsoft ont servi à des opérations de vol de credentials et de récupération de mots de passe.
Dans son rapport, Symantec a fourni des indicateurs de compromission (IoCs) liés aux dernières activités de Trigona pour faciliter la détection et le blocage rapide de ces attaques.