Interlock RAT
Cyberkriminelle bag Interlock ransomware-operationen optrapper deres indsats med en nyudviklet PHP-variant af deres brugerdefinerede fjernadgangstrojan (RAT), Interlock RAT, også kendt som NodeSnake. Denne opgraderede trussel er blevet observeret i en udbredt kampagne ved hjælp af en videreudviklet leveringsmekanisme kaldet FileFix, en udløber af den tidligere kendte ClickFix-teknik. Udviklingen markerer et betydeligt skift i gruppens angrebsstrategi, udvider deres rækkevidde og demonstrerer stigende teknisk sofistikering.
Indholdsfortegnelse
Stealth Entry: Scriptinjektion og trafikomdirigering
Kampagnen, der har været aktiv siden maj 2025, starter med kompromitterede websteder, der er injiceret med et tilsyneladende godartet JavaScript-kodestykke på én linje begravet i HTML-koden. Dette script fungerer som et trafikfordelingssystem (TDS), der bruger IP-baseret filtrering til at omdirigere målrettede besøgende til falske CAPTCHA-bekræftelsessider. Disse svigagtige sider er afhængige af ClickFix-baserede lokkemidler til at narre brugere til at udføre ondsindede PowerShell-scripts. Resultatet er installationen af Interlock RAT, hvilket giver angribere fodfæste i offerets system.
FileFix: En bevæbnet leveringsinnovation
De seneste kampagner observeret i juni 2025 viser brugen af FileFix, en mere avanceret version af ClickFix, som den centrale infektionsvektor. FileFix udnytter adresselinjen i Windows Stifinder til socialt at modificere brugere til at køre ondsindede kommandoer. FileFix, der oprindeligt blev demonstreret som et proof-of-concept i juni 2025, er nu blevet operationelt til at distribuere PHP-varianten af Interlock RAT, og i nogle tilfælde fungerer denne implementering som en forløber for installationen af den mere traditionelle Node.js-baserede variant.
Flertrins nyttelast og stealth-funktioner
Når den er implementeret, starter Interlock RAT værtrekognoscering og systeminformationsekfiltrering i JSON-format. Den kontrollerer for privilegieniveauer (USER, ADMIN eller SYSTEM) og etablerer kontakt med en fjernkommando-og-kontrol (C2) server. Yderligere nyttelast, enten EXE- eller DLL-filer, hentes til udførelse.
- Persistensmekanismer omfatter:
- Ændring af Windows-registreringsdatabasen for at opretholde opstartskørsel.
- Aktivering af lateral bevægelse via RDP-adgang (Remote Desktop Protocol).
Derudover involverer en bemærkelsesværdig undvigelsesteknik brugen af Cloudflare Tunnel-underdomæner, der maskerer C2-serverens faktiske placering. Hardkodede IP-adresser fungerer som backup for at opretholde forbindelsen, hvis tunnellerne afbrydes.
Sporing af truslen: Tidligere mål og nuværende motiver
Tidligere i 2025 var Interlock RAT involveret i angreb på lokale myndigheder og uddannelsesinstitutioner i Storbritannien ved hjælp af Node.js-varianten. Det nylige skift til PHP, et almindeligt webudviklingssprog, antyder dog en mere opportunistisk tilgang rettet mod en bredere vifte af brancher. Overgangen til PHP indikerer en taktisk beslutning om at udvide infektionsvektorer og potentielt udnytte sårbare webbaserede infrastrukturer.
Nøgleindikatorer for kampagnen
Ofre og cybersikkerhedsmedarbejdere bør være opmærksomme på følgende kendetegn ved Interlocks seneste operationer:
Indledende angrebsvektor:
- Enkeltlinjede JavaScript-injektioner på legitime, men kompromitterede websteder.
- Omdirigering til falske CAPTCHA-sider ved hjælp af IP-filtrering.
Malware-adfærd efter infektion:
- Værtrekognoscering og JSON-formateret systeminformationsekfiltrering.
- Rettighedstjek og fjernudførelse af nyttelast.
- Registreringsbaseret persistens og RDP-udnyttelse til flytning.
Konklusion: Interlock Groups voksende trusselsprofil
Fremkomsten af PHP-varianten af Interlock RAT demonstrerer gruppens voksende alsidighed og intention om at være på forkant med defensive modforanstaltninger. Ved at udnytte både webscripting og native systemfunktioner udvisker Interlock-angribere linjerne mellem traditionel malware-levering og kreativt misbrug af hverdagens systemfunktioner. Sikkerhedsteams bør forblive årvågne og implementere lagdelte forsvar for at opdage og blokere sådanne udviklende trusler.
