Оферта за отстъпка за множество лицензи
База данни за заплахи Инструменти за отдалечено администриране Interlock RAT

Interlock RAT

До Mezo през Инструменти за отдалечено администриране, Усъвършенствана постоянна заплаха (APT), Ransomwareг
Превод на:

Киберпрестъпниците, стоящи зад операцията за рансъмуер Interlock, ескалират усилията си с новоразработен PHP вариант на техния персонализиран троянски кон за отдалечен достъп (RAT), Interlock RAT, известен още като NodeSnake. Тази подобрена заплаха е наблюдавана в широко разпространена кампания, използваща усъвършенстван механизъм за доставяне, наречен FileFix, разклонение на известната преди това техника ClickFix. Разработката бележи значителна промяна в стратегията за атака на групата, разширявайки обхвата им и демонстрирайки нарастваща техническа сложност.

Скрито влизане: Инжектиране на скриптове и пренасочване на трафика

Кампанията, активна от май 2025 г., започва с компрометирани уебсайтове, инжектирани с привидно безобиден едноредов JavaScript фрагмент, скрит в HTML кода. Този скрипт функционира като система за разпределение на трафика (TDS), използвайки IP-базирано филтриране, за да пренасочва целевите посетители към фалшиви CAPTCHA страници за проверка. Тези измамни страници разчитат на примамки, базирани на ClickFix, за да подведат потребителите да изпълнят злонамерени PowerShell скриптове. Резултатът е инсталирането на Interlock RAT, което дава на нападателите достъп до системата на жертвата.

FileFix: Иновация за доставка, превърната в оръжие

Последните кампании, наблюдавани през юни 2025 г., показват използването на FileFix, по-усъвършенствана версия на ClickFix, като основен вектор на инфекцията. FileFix използва адресната лента на Windows File Explorer, за да подтикне потребителите чрез социално инженерство да изпълняват злонамерени команди. Първоначално демонстриран като доказателство за концепция през юни 2025 г., FileFix вече е операционализиран за разпространение на PHP варианта на Interlock RAT, а в някои случаи това внедряване действа като предшественик на инсталирането на по-традиционния вариант, базиран на Node.js.

Многостепенни полезни товари и стелт възможности

След внедряване, Interlock RAT инициира разузнаване на хоста и извличане на системна информация в JSON формат. Той проверява нивата на привилегии (ПОТРЕБИТЕЛ, АДМИНИСТРАТОР или СИСТЕМА) и установява контакт с отдалечен сървър за командване и управление (C2). Допълнителни полезни товари, EXE или DLL файлове, се извличат за изпълнение.

  • Механизмите за устойчивост включват:
  • Промяна на системния регистър на Windows, за да се поддържа изпълнението при стартиране.
  • Активиране на странично движение чрез достъп чрез протокол за отдалечен работен плот (RDP).

Освен това, забележителна техника за избягване включва използването на поддомейни на Cloudflare Tunnel, маскиращи действителното местоположение на C2 сървъра. Твърдо кодираните IP адреси служат като резервни копия за поддържане на свързаност, ако тунелите бъдат прекъснати.

Проследяване на заплахата: минали цели и настоящи мотиви

По-рано през 2025 г. Interlock RAT участваше в атаки срещу местни правителствени и образователни институции във Великобритания, използвайки варианта Node.js. Неотдавнашното преминаване към PHP, често срещан език за уеб разработка, обаче предполага по-опортюнистичен подход, насочен към по-широк кръг от индустрии. Преходът към PHP показва тактическо решение за разширяване на векторите на инфекция, потенциално експлоатиращи уязвими уеб-базирани инфраструктури.

Ключови показатели на кампанията

Жертвите и служителите по киберсигурност трябва да са наясно със следните отличителни белези на последните операции на Interlock:

Вектор на първоначалната атака:

  • Инжектиране на единичен JavaScript код в легитимни, но компрометирани уебсайтове.
  • Пренасочване към фалшиви CAPTCHA страници с помощта на IP филтриране.

Поведение на зловредния софтуер след заразяване:

  • Разузнаване на хоста и извличане на системна информация във формат JSON.
  • Проверки на привилегиите и дистанционно изпълнение на полезен товар.
  • Базирано на регистъра запазване и RDP експлоатация за движение.

Заключение: Нарастващ профил на заплахи на Interlock Group

Появата на PHP варианта на Interlock RAT демонстрира нарастващата гъвкавост на групата и намерението ѝ да бъде в крак с отбранителните контрамерки. Чрез използване както на уеб скриптове, така и на нативни системни функции, атакуващите Interlock размиват границите между традиционното доставяне на зловреден софтуер и креативната злоупотреба с ежедневните системни функционалности. Екипите по сигурност трябва да останат бдителни и да внедрят многопластови защити, за да откриват и блокират подобни развиващи се заплахи.

Тенденция

Най-гледан

Зареждане...