Barracuda full logo

Les dossiers du SOC : XDR contient deux attaques presque identiques utilisant ScreenConnect

Thèmes:
2 juil. 2025
|

L'équipe Managed XDR de Barracuda a récemment aidé deux entreprises à atténuer les incidents où des pirates avaient réussi à compromettre des ordinateurs et à installer un logiciel de gestion à distance non autorisé ScreenConnect. Les incidents ont été neutralisés avant que les pirates ne puissent se déplacer latéralement sur le réseau.

Résumé de l’incident

  • Deux organisations différentes ont détecté un comportement étrange sur les ordinateurs. Une entreprise a découvert un logiciel fiscal ouvert et l'autre a repéré des mouvements de souris inhabituels.
  • Dans les deux cas, les analystes du SOC ont découvert des déploiements frauduleux du logiciel d'accès à distance et de gestion ScreenConnect.
  • Dans l'entreprise A, des signes de tentatives possibles d'exfiltration de données liées à une série complexe de téléchargements malveillants ont été détectés.
  • L'entreprise B avait des preuves de l'existence de scripts malicieux et de techniques de persistance.
  • Dans les deux cas, ScreenConnect a été installé furtivement, le programme d'installation se faisant passer pour des fichiers relatifs à la sécurité sociale.
  • Les analystes du SOC ont pu aider les deux entreprises à contenir et à neutraliser les incidents.

Le déroulement de l'attaque

Entreprise A

  • L'entreprise A a commencé à avoir des soupçons lorsqu'elle a remarqué qu'un logiciel fiscal était ouvert sur un ordinateur, alors que l'utilisateur avait déclaré ne pas l'avoir ouvert.
  • L'équipe SOC de Barracuda Managed XDR a vérifié les journaux et identifié les logiciels fiscaux ouverts liés à un déploiement ScreenConnect.
  • En collaboration avec le fournisseur de services gérés de l'entreprise A, l'équipe SOC a confirmé que le déploiement de ScreenConnect n'était pas autorisé et ne faisait pas partie de l'environnement.
  • L'application malveillante a été installée par l'utilisateur de l'ordinateur. Ils avaient exécuté à leur insu un programme d'installation malicieux de ScreenConnect déguisé en document de la sécurité sociale.
  • Les pirates utilisaient ScreenConnect pour établir et maintenir l'accès au système.
  • D'autres fichiers exécutables ont été découverts dans le dossier « Téléchargements » de l'utilisateur compromis, tandis que l'application malveillante ScreenConnect a été découverte cachée dans deux dossiers, le dossier « Local\Apps\2.0\ » et le dossier « \Windows\SystemTemp\ ».
  • L'équipe SOC a constaté que de nouveaux fichiers apparaissaient et interagissaient sans but précis. Ces boucles de création de fichiers et ces interactions entre programmes représentent souvent une tentative d'obscurcissement visant à dissimuler d'autres activités, telles que la suppression non autorisée de données.
  • Le déploiement du XDR de l'entreprise A n'étant pas intégré au firewall, l'enquête n'a pas pu confirmer s'il y avait des signes d'exfiltration de données.
  • L'équipe SOC a conseillé à l'entreprise A d'effacer et de reconstruire complètement l'appareil infecté afin de supprimer toute trace des pirates et de leurs outils.

Company B

  • L'entreprise B a repéré des mouvements de souris aléatoires sur un ordinateur, ce qui l'a également conduite à une installation frauduleuse de ScreenConnect.
  • La prise de contrôle était similaire à celle de l'entreprise A : un utilisateur final imprudent avait téléchargé un prétendu fichier de la sécurité sociale qui était en réalité un programme d'installation de ScreenConnect.
  • Les pirates ont ensuite créé un nouveau dossier dans lequel ils ont téléchargé d'autres logiciels malveillants tels que des scripts VBS (un langage de programmation light Microsoft souvent utilisé pour les applications web et les tâches automatisées).
  • L'un d'entre eux, « Child-Backup.vbs » a exécuté une commande PowerShell fortement dissimulée pour établir la persistance en exploitant le malware Remcos. Le malware Remcos est un cheval de Troie d'accès à distance avancé (ou RAT) qui peut être utilisé pour contrôler et surveiller un ordinateur Windows.
  • L'équipe SOC a vérifié tous les journaux du firewall et n'a constaté aucun signe d'exfiltration de données.
  • ·       L'équipe SOC a conseillé à l'entreprise B d'effacer et de reconstruire complètement l'appareil infecté afin de supprimer toute trace des pirates et de leurs outils.
Chronologie de la manière dont XDR a maîtrisé deux attaques presque identiques grâce à ScreenConnect

Principaux enseignements tirés

  • Les organisations ont besoin d'une stratégie de sécurité solide et cyber-résiliente capable à la fois d'empêcher les accès malveillants et d'atténuer l'impact des acteurs malveillants qui ont réussi à compromettre des comptes et des points de terminaison. 
  • Cela doit inclure la surveillance et la journalisation des terminaux qui permettent aux équipes de sécurité de repérer les installations de logiciels malveillants et les outils d'accès à distance non autorisés.
  • Dans les cas où des pirates utilisent abusivement une application de confiance déjà déployée par une organisation, les mauvaises intentions des actions informatiques quotidiennes telles que les téléchargements de fichiers peuvent ne pas toujours déclencher une alerte de sécurité.
  • La stratégie de sécurité doit donc également inclure des mesures de détection et de prévention des malwares afin de découvrir les scripts obscurcis et les techniques de persistance.
  • Il est tout aussi important de sensibiliser les employés aux dernières techniques d'hameçonnage et à la navigation sécurisée afin d'atténuer les attaques de social engineering.
  • L'effacement des systèmes compromis peut être une mesure de contrôle pour éliminer la menace si les pirates ont réussi à persister.

Barracuda Managed XDR permet de détecter et d'atténuer ces incidents. Il surveille en permanence les points de terminaison et l'activité du réseau pour repérer les comportements anormaux tels que les installations de logiciels malveillants ou les interactions de fichiers inhabituelles. Il exploite les renseignements sur les menaces pour détecter les scripts et outils malicieux connus, tels que le malware Remcos ou les commandes PowerShell obscurcies.

Managed XDR offre en outre des capacités de réponse rapide aux incidents, ce qui permet d'endiguer rapidement les menaces identifiées et d'y remédier. Des journaux détaillés et une analyse médico-légale permettent de retracer l'origine et la portée de l'attaque, ce qui permet de prendre des mesures stratégiques de prévention à l'avenir.

En s'intégrant à la détection et à la réponse des endpoints (EDR), Managed XDR améliore la visibilité des systèmes isolés et fournit des informations exploitables pour l'atténuation des risques. La chasse proactive aux menaces prise en charge par Managed XDR permet d'identifier les mécanismes de persistance et de les éliminer avant que les pirates n'obtiennent un accès durable.

Consultez le site web pour plus d'informations sur Barracuda Managed XDR et SOC. Pour connaître les dernières fonctionnalités, mises à niveau et nouvelles détections de Barracuda Managed XDR, lisez les dernières notes de version.

Découvrez les nouveautés de Barracuda Managed XDR
Billets associés :
Confronting the Dark Side of GenAI: Recommendations for business leaders, CISOs and security teams
Confronting the Dark Side of GenAI: Recommendations for business leaders, CISOs and security teams
 The SOC case files: Akira ransomware turns victim’s remote management tool on itself
The SOC case files: Akira ransomware turns victim’s remote management tool on itself
 Email Threat Radar – September 2025
Email Threat Radar – September 2025
 Choc du système : le ransomware Storm-0501 migre vers le cloud
Choc du système : le ransomware Storm-0501 migre vers le cloud
Rechercher dans le blog

Rapport 2025 sur les ransomwares

Principales conclusions concernant l’expérience et l’impact des ransomwares sur les organisations du monde entier

Recevez le rapport d'enquête

S’abonner au blog de Barracuda.

Inscrivez-vous pour recevoir des informations sur les menaces, des commentaires sur le secteur et bien plus encore.

Sécurité des vulnérabilités gérée : correction plus rapide, risques réduits, conformité simplifiée 

Découvrez à quel point il peut être facile de trouver les vulnérabilités que les cybercriminels cherchent à exploiter

REGARDER LE WEBINAIRE

Abonnez-vous pour recevoir les nouvelles à connaître sur les menaces, des commentaires sur notre domaine d’activité et bien plus encore.

Recevez directement dans votre boîte de réception toutes les dernières nouvelles, avec nos actualités sur les recherches et nos analyses.