Εκπτωτική προσφορά πολλαπλών αδειών
Βάση δεδομένων απειλών Εργαλεία απομακρυσμένης διαχείρισης Interlock RAT

Interlock RAT

Μέχρι το Mezo το Εργαλεία απομακρυσμένης διαχείρισης, Προηγμένη επίμονη απειλή (APT), Ransomware
Μετάφραση σε:

Οι κυβερνοεγκληματίες πίσω από την επιχείρηση ransomware Interlock κλιμακώνουν τις προσπάθειές τους με μια πρόσφατα αναπτυγμένη παραλλαγή PHP του προσαρμοσμένου trojan απομακρυσμένης πρόσβασης (RAT), Interlock RAT, επίσης γνωστού ως NodeSnake. Αυτή η αναβαθμισμένη απειλή έχει παρατηρηθεί σε μια εκτεταμένη εκστρατεία χρησιμοποιώντας έναν εξελιγμένο μηχανισμό παράδοσης με την ονομασία FileFix, ένα παρακλάδι της προηγουμένως γνωστής τεχνικής ClickFix. Η εξέλιξη σηματοδοτεί μια σημαντική αλλαγή στη στρατηγική επίθεσης της ομάδας, επεκτείνοντας την εμβέλειά της και επιδεικνύοντας αυξανόμενη τεχνική πολυπλοκότητα.

Αόρατη είσοδος: Έγχυση σεναρίου και ανακατεύθυνση επισκεψιμότητας

Η καμπάνια, η οποία είναι ενεργή από τον Μάιο του 2025, ξεκινά με παραβιασμένους ιστότοπους στους οποίους έχει εισαχθεί ένα φαινομενικά ακίνδυνο απόσπασμα JavaScript μίας γραμμής που είναι κρυμμένο στον κώδικα HTML. Αυτό το σενάριο λειτουργεί ως σύστημα κατανομής επισκεψιμότητας (TDS), χρησιμοποιώντας φιλτράρισμα βάσει IP για να ανακατευθύνει τους στοχευμένους επισκέπτες σε ψεύτικες σελίδες επαλήθευσης CAPTCHA. Αυτές οι δόλιες σελίδες βασίζονται σε δολώματα που βασίζονται στο ClickFix για να ξεγελάσουν τους χρήστες ώστε να εκτελέσουν κακόβουλα σενάρια PowerShell. Το αποτέλεσμα είναι η εγκατάσταση του Interlock RAT, το οποίο παρέχει στους εισβολείς μια βάση στο σύστημα του θύματος.

FileFix: Μια οπλισμένη καινοτομία παράδοσης

Οι τελευταίες καμπάνιες που παρατηρήθηκαν τον Ιούνιο του 2025 παρουσιάζουν τη χρήση του FileFix, μιας πιο προηγμένης έκδοσης του ClickFix, ως βασικού φορέα μόλυνσης. Το FileFix εκμεταλλεύεται τη γραμμή διευθύνσεων της Εξερεύνησης Αρχείων των Windows για να καθοδηγήσει τους χρήστες κοινωνικά ώστε να εκτελούν κακόβουλες εντολές. Αρχικά παρουσιάστηκε ως απόδειξη της ιδέας τον Ιούνιο του 2025, το FileFix έχει πλέον τεθεί σε λειτουργία για τη διανομή της παραλλαγής PHP του Interlock RAT και, σε ορισμένες περιπτώσεις, αυτή η ανάπτυξη λειτουργεί ως πρόδρομος της εγκατάστασης της πιο παραδοσιακής παραλλαγής που βασίζεται στο Node.js.

Πολυβάθμια ωφέλιμα φορτία και δυνατότητες stealth

Μόλις αναπτυχθεί, το Interlock RAT ξεκινά την αναγνώριση κεντρικού υπολογιστή και την εξαγωγή πληροφοριών συστήματος σε μορφή JSON. Ελέγχει τα επίπεδα δικαιωμάτων (ΧΡΗΣΤΗΣ, ΔΙΑΧΕΙΡΙΣΤΗΣ ή ΣΥΣΤΗΜΑ) και επικοινωνεί με έναν διακομιστή απομακρυσμένης εντολής και ελέγχου (C2). Πρόσθετα ωφέλιμα φορτία, είτε αρχεία EXE είτε αρχεία DLL, ανακτώνται για εκτέλεση.

  • Οι μηχανισμοί επιμονής περιλαμβάνουν:
  • Τροποποίηση του μητρώου των Windows για τη διατήρηση της εκτέλεσης εκκίνησης.
  • Ενεργοποίηση πλευρικής κίνησης μέσω πρόσβασης μέσω πρωτοκόλλου απομακρυσμένης επιφάνειας εργασίας (RDP).

Επιπλέον, μια αξιοσημείωτη τεχνική αποφυγής περιλαμβάνει τη χρήση υποτομέων Cloudflare Tunnel, αποκρύπτοντας την πραγματική τοποθεσία του διακομιστή C2. Οι ενσωματωμένες διευθύνσεις IP χρησιμεύουν ως αντίγραφα ασφαλείας για τη διατήρηση της συνδεσιμότητας σε περίπτωση διακοπής των τούνελ.

Παρακολούθηση της Απειλής: Προηγούμενοι Στόχοι και Τρέχοντα Κίνητρα

Νωρίτερα το 2025, το Interlock RAT συμμετείχε σε επιθέσεις σε τοπικά κυβερνητικά και εκπαιδευτικά ιδρύματα στο Ηνωμένο Βασίλειο, αξιοποιώντας την παραλλαγή Node.js. Ωστόσο, η πρόσφατη στροφή στην PHP, μια κοινή γλώσσα ανάπτυξης ιστοσελίδων, υποδηλώνει μια πιο ευκαιριακή προσέγγιση που στοχεύει σε ένα ευρύτερο φάσμα βιομηχανιών. Η μετάβαση στην PHP υποδηλώνει μια τακτική απόφαση για διεύρυνση των φορέων μόλυνσης, ενδεχομένως εκμεταλλευόμενοι ευάλωτες διαδικτυακές υποδομές.

Βασικοί Δείκτες της Εκστρατείας

Τα θύματα και οι υπεύθυνοι κυβερνοασφάλειας θα πρέπει να είναι σε εγρήγορση για τα ακόλουθα χαρακτηριστικά των τελευταίων επιχειρήσεων της Interlock:

Αρχική Διάνυσμα Επίθεσης:

  • Ενέσεις JavaScript μίας γραμμής σε νόμιμους αλλά παραβιασμένους ιστότοπους.
  • Ανακατεύθυνση σε ψεύτικες σελίδες CAPTCHA χρησιμοποιώντας φιλτράρισμα IP.

Συμπεριφορά κακόβουλου λογισμικού μετά τη μόλυνση:

  • Αναγνώριση κεντρικού υπολογιστή και εξαγωγή πληροφοριών συστήματος σε μορφή JSON.
  • Έλεγχοι προνομίων και εκτέλεση ωφέλιμου φορτίου από απόσταση.
  • Μόνιμη λειτουργία βάσει μητρώου και εκμετάλλευση RDP για κίνηση.

Συμπέρασμα: Αυξανόμενο προφίλ απειλών της ομάδας Interlock

Η εμφάνιση της παραλλαγής PHP του Interlock RAT καταδεικνύει την αυξανόμενη ευελιξία της ομάδας και την πρόθεσή της να παραμένει μπροστά από τα αμυντικά αντίμετρα. Αξιοποιώντας τόσο το web scripting όσο και τις εγγενείς λειτουργίες του συστήματος, οι επιτιθέμενοι του Interlock θολώνουν τα όρια μεταξύ της παραδοσιακής διανομής κακόβουλου λογισμικού και της δημιουργικής κατάχρησης των καθημερινών λειτουργιών του συστήματος. Οι ομάδες ασφαλείας θα πρέπει να παραμένουν σε εγρήγορση και να εφαρμόζουν πολυεπίπεδες άμυνες για την ανίχνευση και τον αποκλεισμό τέτοιων εξελισσόμενων απειλών.

Τάσεις

Απάτη με την τοποθέτηση παραγγελίας

Κακόβουλο λογισμικό, Phishing, Ανεπιθύμητη αλληλογραφία
Στην ψηφιακή εποχή, το email παραμένει ένα από τα πιο συνηθισμένα εργαλεία επικοινωνίας και ένα από τα πιο κακοποιημένα. Μεταξύ των αμέτρητων κακόβουλων καμπανιών email που κυκλοφορούν στο...

Περισσότερες εμφανίσεις

Κακόβουλο λογισμικό

Phishing, Ανεπιθύμητη αλληλογραφία
35,768
Το μήνυμα απάτης «Apple Pay Suspended» είναι ένας τύπος τακτικής phishing που στοχεύει χρήστες του Apple Pay. Το μήνυμα υποστηρίζει ότι το πορτοφόλι Apple Pay του χρήστη έχει τεθεί σε αναστολή και τους προτρέπει να κάνουν κλικ σε έναν σύνδεσμο για να το επαναφέρουν. Ωστόσο, κάνοντας κλικ στον σύνδεσμο θα μεταφερθεί ο χρήστης σε έναν ψεύτικο ιστότοπο που έχει σχεδιαστεί για να κλέβει τα...
Φόρτωση...