Interlock RAT
Kyberzločinci stojící za ransomwarovou operací Interlock stupňují své úsilí s nově vyvinutou PHP variantou svého vlastního trojského koně pro vzdálený přístup (RAT), Interlock RAT, známého také jako NodeSnake. Tato vylepšená hrozba byla pozorována v rozsáhlé kampani využívající vyvinutý mechanismus doručování s názvem FileFix, odnož dříve známé techniky ClickFix. Tento vývoj představuje významný posun v útočné strategii skupiny, rozšiřuje její dosah a demonstruje rostoucí technickou sofistikovanost.
Obsah
Nenápadný vstup: Vkládání skriptů a přesměrování provozu
Kampaň, aktivní od května 2025, začíná napadenými webovými stránkami, do kterých je vložen zdánlivě neškodný jednořádkový úryvek JavaScriptu vložený do HTML kódu. Tento skript funguje jako systém distribuce provozu (TDS) a využívá filtrování na základě IP adres k přesměrování cílených návštěvníků na falešné ověřovací stránky CAPTCHA. Tyto podvodné stránky se spoléhají na návnady založené na ClickFixu, které uživatele oklamou a přimějí ke spuštění škodlivých skriptů PowerShellu. Výsledkem je instalace Interlock RAT, která útočníkům poskytuje oporu v systému oběti.
FileFix: Inovace v oblasti doručování zbraní
Nejnovější kampaně pozorované v červnu 2025 ukazují použití FileFixu, pokročilejší verze ClickFixu, jakožto hlavního vektoru infekce. FileFix využívá adresní řádek Průzkumníka souborů systému Windows k sociálnímu inženýrství uživatelů, aby spustili škodlivé příkazy. FileFix, původně demonstrovaný jako testovací koncept v červnu 2025, byl nyní uveden do provozu k distribuci PHP varianty Interlock RAT a v některých případech toto nasazení slouží jako předchůdce instalace tradičnější varianty založené na Node.js.
Vícestupňové užitečné zatížení a schopnosti nenápadnosti
Po nasazení Interlock RAT zahájí průzkum hostitele a získávání systémových informací ve formátu JSON. Kontroluje úrovně oprávnění (USER, ADMIN nebo SYSTEM) a navazuje kontakt se vzdáleným serverem command-and-control (C2). Pro spuštění jsou načteny další datové části, buď soubory EXE nebo DLL.
- Mezi mechanismy perzistence patří:
- Úprava registru systému Windows pro zachování spouštění systému.
- Povolení laterálního pohybu prostřednictvím přístupu přes protokol RDP (Remote Desktop Protocol).
Pozoruhodná technika obcházení navíc zahrnuje použití subdomén Cloudflare Tunnel, které maskují skutečnou polohu serveru C2. Pevně zakódované IP adresy slouží jako zálohy pro udržení konektivity v případě přerušení tunelů.
Sledování hrozby: Minulé cíle a současné motivy
Začátkem roku 2025 se Interlock RAT podílel na útocích na místní samosprávy a vzdělávací instituce ve Spojeném království s využitím varianty Node.js. Nedávný přechod na PHP, běžný jazyk pro vývoj webových stránek, však naznačuje oportunnější přístup zaměřený na širší škálu odvětví. Přechod na PHP naznačuje taktické rozhodnutí rozšířit vektory infekce a potenciálně zneužít zranitelné webové infrastruktury.
Klíčové ukazatele kampaně
Oběti a pracovníci kybernetické bezpečnosti by si měli být vědomi následujících znaků nejnovějších operací společnosti Interlock:
Počáteční vektor útoku:
- Jednořádkové JavaScriptové injekce na legitimních, ale kompromitovaných webových stránkách.
- Přesměrování na falešné stránky CAPTCHA pomocí filtrování IP adres.
Chování malwaru po infekci:
- Průzkum hostitele a exfiltrace systémových informací ve formátu JSON.
- Kontroly oprávnění a vzdálené spuštění dat.
- Perzistence založená na registru a využití RDP pro přesun.
Závěr: Rostoucí profil hrozeb skupiny Interlock
Vznik PHP varianty Interlock RAT demonstruje rostoucí všestrannost skupiny a její záměr být o krok napřed před obrannými protiopatřeními. Využíváním webových skriptů i nativních systémových funkcí útočníci Interlock stírají hranice mezi tradičním šířením malwaru a kreativním zneužíváním každodenních systémových funkcí. Bezpečnostní týmy by měly zůstat ostražité a implementovat vícevrstvou obranu k detekci a blokování takových vyvíjejících se hrozeb.
