Interlock RAT

يُصعّد مجرمو الإنترنت، الذين يقفون وراء عملية برمجيات الفدية Interlock، جهودهم باستخدام نسخة PHP مُطوّرة حديثًا من برنامجهم المُخصص للوصول عن بُعد (RAT)، Interlock RAT، والمعروف أيضًا باسم NodeSnake. وقد رُصد هذا التهديد المُطوّر في حملة واسعة النطاق باستخدام آلية توصيل مُطوّرة تُسمى FileFix، وهي فرع من تقنية ClickFix المعروفة سابقًا. يُمثّل هذا التطور تحوّلًا كبيرًا في استراتيجية هجوم المجموعة، إذ يُوسّع نطاقها ويُظهر تطورًا تقنيًا متزايدًا.

الدخول الخفي: حقن البرامج النصية وإعادة توجيه حركة المرور

تبدأ الحملة، النشطة منذ مايو 2025، بمواقع إلكترونية مُخترقة مُلقحة بنص جافا سكريبت أحادي السطر، يبدو حميدًا، مُخبأً في شيفرة HTML. يعمل هذا النص كنظام توزيع حركة مرور (TDS)، مُستخدمًا تصفية قائمة على عنوان IP لإعادة توجيه الزوار المُستهدفين إلى صفحات تحقق CAPTCHA مزيفة. تعتمد هذه الصفحات الاحتيالية على إغراءات قائمة على ClickFix لخداع المستخدمين ودفعهم إلى تنفيذ نصوص PowerShell خبيثة. والنتيجة هي تثبيت Interlock RAT، مما يمنح المهاجمين موطئ قدم في نظام الضحية.

FileFix: ابتكارٌ في مجال التوصيل المُسلّح

تُظهر أحدث الحملات التي رُصدت في يونيو 2025 استخدام FileFix، وهو إصدار أكثر تطورًا من ClickFix، كناقل رئيسي للعدوى. يستغل FileFix شريط عناوين مستكشف ملفات Windows لخداع المستخدمين لتنفيذ أوامر ضارة. عُرض FileFix في الأصل كإثبات مفهوم في يونيو 2025، وقد تم تشغيله الآن لتوزيع نسخة PHP من Interlock RAT، وفي بعض الحالات، يُعد هذا النشر بمثابة مقدمة لتثبيت النسخة التقليدية القائمة على Node.js.

الحمولات متعددة المراحل وقدرات التخفي

بمجرد نشره، يبدأ Interlock RAT باستطلاع المضيف واستخراج معلومات النظام بصيغة JSON. يتحقق من مستويات الصلاحيات (المستخدم، المسؤول، أو النظام)، وينشئ اتصالاً بخادم القيادة والتحكم عن بُعد (C2). يتم جلب حمولات إضافية، إما ملفات EXE أو DLL، للتنفيذ.

• تشمل آليات الاستمرار ما يلي:
• تعديل سجل Windows للحفاظ على تنفيذ بدء التشغيل.
• تمكين الحركة الجانبية من خلال الوصول إلى بروتوكول سطح المكتب البعيد (RDP).

علاوة على ذلك، تتضمن إحدى تقنيات التهرب البارزة استخدام نطاقات فرعية لنفق Cloudflare، مما يُخفي الموقع الفعلي لخادم C2. تعمل عناوين IP المُبرمجة مسبقًا كنسخ احتياطية للحفاظ على الاتصال في حال تعطل الأنفاق.

تتبع التهديد: الأهداف الماضية والدوافع الحالية

في وقت سابق من عام ٢٠٢٥، تورطت Interlock RAT في هجمات على مؤسسات حكومية وتعليمية محلية في المملكة المتحدة، مستغلةً نسخة Node.js. ومع ذلك، يشير التحول الأخير إلى PHP، وهي لغة تطوير ويب شائعة، إلى نهج أكثر انتهازية يستهدف نطاقًا أوسع من القطاعات. ويشير التحول إلى PHP إلى قرار تكتيكي لتوسيع نطاق نواقل العدوى، مما قد يؤدي إلى استغلال البنى التحتية الضعيفة للويب.

المؤشرات الرئيسية للحملة

يتعين على الضحايا ومسؤولي الأمن السيبراني أن يكونوا على دراية بالعلامات المميزة التالية للعمليات الأخيرة لشركة Interlock:

متجه الهجوم الأولي:

• حقن JavaScript بسطر واحد على مواقع ويب مشروعة ولكنها معرضة للخطر.
• إعادة التوجيه إلى صفحات CAPTCHA المزيفة باستخدام تصفية IP.

سلوك البرامج الضارة بعد الإصابة:

• استطلاع المضيف واستخراج معلومات النظام بتنسيق JSON.
• التحقق من الامتيازات وتنفيذ الحمولة عن بعد.
• الاستمرارية القائمة على التسجيل واستغلال RDP للحركة.

الاستنتاج: ملف التهديدات المتزايد لمجموعة إنترلوك

يُظهر ظهور نسخة PHP من Interlock RAT تنوع المجموعة المتزايد وعزمها على استباق الإجراءات الدفاعية المضادة. من خلال الاستفادة من نصوص الويب وميزات النظام الأصلية، يُزيل مهاجمو Interlock الحدود الفاصلة بين نشر البرامج الضارة التقليدي والاستغلال المبتكر لوظائف النظام اليومية. يجب على فرق الأمن أن تظل يقظة وأن تطبق دفاعات متعددة الطبقات للكشف عن هذه التهديدات المتطورة وحظرها.