Interlock RAT
Interlocki lunavaraoperatsiooni taga olevad küberkurjategijad eskaleerivad oma jõupingutusi oma kohandatud kaugjuurdepääsu trooja (RAT) Interlock RAT-i äsja väljatöötatud PHP-variandiga, tuntud ka kui NodeSnake. Seda täiustatud ohtu on täheldatud laialdases kampaanias, kasutades täiustatud edastusmehhanismi nimega FileFix, mis on varem tuntud ClickFixi tehnika haru. See arendus tähistab olulist muutust grupi rünnakustrateegias, laiendades nende ulatust ja demonstreerides üha suurenevat tehnilist keerukust.
Sisukord
Salajane sisenemine: skripti süstimine ja liikluse ümbersuunamine
Kampaania, mis on aktiivne alates 2025. aasta maist, algab ohustatud veebisaitidega, mille HTML-koodi on peidetud pealtnäha ohutu üherealise JavaScripti koodijupiga. See skript toimib liikluse jaotussüsteemina (TDS), kasutades IP-põhist filtreerimist, et suunata sihtrühma külastajaid võltsitud CAPTCHA kinnituslehtedele. Need petturlikud lehed tuginevad ClickFix-põhistele peibutistele, et meelitada kasutajaid pahatahtlikke PowerShelli skripte käivitama. Tulemuseks on Interlock RAT-i installimine, mis annab ründajatele jalgealuse ohvri süsteemis.
FileFix: relvastatud kohaletoimetamise innovatsioon
Juunis 2025 täheldatud uusimad kampaaniad näitavad FileFixi, ClickFixi täiustatud versiooni, kasutamist peamise nakkusvektorina. FileFix kasutab Windowsi failihalduri aadressiriba, et sotsiaalselt manipuleerida kasutajatega pahatahtlike käskude käivitamiseks. Algselt demonstreeriti FileFixi kontseptsiooni tõestusena juunis 2025, kuid nüüd on see rakendatud Interlock RATi PHP-variandi levitamiseks ning mõnel juhul toimib see juurutus traditsioonilisema Node.js-põhise variandi installimise eelkäijana.
Mitmeastmelised kasulikud koormused ja varjatud võimed
Pärast juurutamist alustab Interlock RAT hosti luuret ja süsteemiteabe väljavõtmist JSON-vormingus. See kontrollib privileegide tasemeid (KASUTAJA, ADMIN või SÜSTEEM) ja loob ühenduse kaugjuhtimispuldi (C2) serveriga. Täitmiseks laaditakse alla täiendavad kasulikud load, kas EXE- või DLL-failid.
- Püsivuse mehhanismide hulka kuuluvad:
- Windowsi registri muutmine käivitusprotsessi käivitamise säilitamiseks.
- Külgmise liikumise lubamine kaugtöölaua protokolli (RDP) kaudu.
Lisaks hõlmab tähelepanuväärne rünnakutehnika Cloudflare Tunneli alamdomeenide kasutamist, mis varjavad C2 serveri tegelikku asukohta. Kõvakodeeritud IP-aadressid toimivad varuvariantidena, et säilitada ühenduvus tunnelite katkemise korral.
Ohu jälgimine: varasemad sihtmärgid ja praegused motiivid
Varem 2025. aastal oli Interlock RAT seotud rünnakutega Ühendkuningriigi kohalike omavalitsuste ja haridusasutuste vastu, kasutades ära Node.js varianti. Hiljutine üleminek PHP-le, mis on levinud veebiarenduskeel, viitab aga oportunistlikumale lähenemisviisile, mis on suunatud laiemale tööstusharude ringile. Üleminek PHP-le viitab taktikalisele otsusele laiendada nakkusvektoreid, potentsiaalselt ära kasutades haavatavaid veebipõhiseid infrastruktuure.
Kampaania põhinäitajad
Ohvrid ja küberturbetöötajad peaksid olema tähelepanelikud Interlocki uusimate operatsioonide järgmiste tunnuste suhtes:
Esialgne rünnakuvektor:
- Üherealised JavaScripti süstid legitiimsetele, kuid ohustatud veebisaitidele.
- Ümbersuunamine võltsitud CAPTCHA-lehtedele IP-filtreerimise abil.
Pahavara käitumine pärast nakatumist:
- Hosti luure ja JSON-vormingus süsteemiteabe väljavool.
- Õiguste kontrollid ja kaugtöölaua täitmine.
- Registripõhine püsivus ja RDP ärakasutamine liikumiseks.
Kokkuvõte: Interlock Groupi kasvav ohuprofiil
Interlock RATi PHP-variandi ilmumine näitab grupi kasvavat mitmekülgsust ja kavatsust olla kaitsvate vastumeetmete osas ees. Kasutades nii veebiskriptimist kui ka natiivseid süsteemifunktsioone, hägustavad Interlocki ründajad piire traditsioonilise pahavara levitamise ja igapäevaste süsteemifunktsioonide loomingulise kuritarvitamise vahel. Turvameeskonnad peaksid jääma valvsaks ja rakendama mitmekihilisi kaitsemeetmeid selliste arenevate ohtude avastamiseks ja blokeerimiseks.
