Interlock RAT

مجرمان سایبری پشت پرده باج‌افزار Interlock در حال تشدید تلاش‌های خود با یک نوع PHP جدید توسعه‌یافته از تروجان دسترسی از راه دور سفارشی (RAT) خود، Interlock RAT، که با نام NodeSnake نیز شناخته می‌شود، هستند. این تهدید ارتقا یافته در یک کمپین گسترده با استفاده از یک مکانیسم تحویل تکامل‌یافته به نام FileFix، شاخه‌ای از تکنیک ClickFix که قبلاً شناخته شده بود، مشاهده شده است. این توسعه نشان‌دهنده تغییر قابل توجهی در استراتژی حمله این گروه است که دامنه دسترسی آنها را گسترش می‌دهد و پیچیدگی فنی فزاینده‌ای را نشان می‌دهد.

ورود مخفیانه: تزریق اسکریپت و تغییر مسیر ترافیک

این کمپین که از ماه مه ۲۰۲۵ فعال است، با وب‌سایت‌های آلوده‌ای آغاز می‌شود که یک قطعه کد جاوا اسکریپت تک‌خطی ظاهراً بی‌خطر در کد HTML آنها تزریق شده است. این اسکریپت به عنوان یک سیستم توزیع ترافیک (TDS) عمل می‌کند و از فیلترینگ مبتنی بر IP برای هدایت بازدیدکنندگان هدفمند به صفحات تأیید جعلی CAPTCHA استفاده می‌کند. این صفحات جعلی با استفاده از فریب‌های مبتنی بر ClickFix، کاربران را به اجرای اسکریپت‌های مخرب PowerShell ترغیب می‌کنند. نتیجه، نصب Interlock RAT است که به مهاجمان امکان نفوذ در سیستم قربانی را می‌دهد.

FileFix: یک نوآوری در زمینه تحویل سلاح

آخرین کمپین‌های مشاهده‌شده در ژوئن ۲۰۲۵، استفاده از FileFix، نسخه‌ی پیشرفته‌تر ClickFix، را به عنوان بردار آلودگی اصلی نشان می‌دهند. FileFix از نوار آدرس Windows File Explorer برای مهندسی اجتماعی کاربران جهت اجرای دستورات مخرب سوءاستفاده می‌کند. FileFix که در ابتدا به عنوان یک اثبات مفهوم در ژوئن ۲۰۲۵ نشان داده شد، اکنون برای توزیع نوع PHP از Interlock RAT عملیاتی شده است و در برخی موارد، این استقرار به عنوان پیش‌زمینه‌ای برای نصب نوع سنتی‌تر مبتنی بر Node.js عمل می‌کند.

محموله‌های چند مرحله‌ای و قابلیت‌های پنهان‌کاری

پس از استقرار، Interlock RAT شناسایی میزبان و استخراج اطلاعات سیستم را در قالب JSON آغاز می‌کند. این بدافزار سطوح امتیاز (USER، ADMIN یا SYSTEM) را بررسی می‌کند و با یک سرور فرمان و کنترل از راه دور (C2) ارتباط برقرار می‌کند. فایل‌های اضافی، چه فایل‌های EXE و چه DLL، برای اجرا دریافت می‌شوند.

• مکانیسم‌های پایداری عبارتند از:
• اصلاح رجیستری ویندوز برای حفظ اجرای راه‌اندازی.
• فعال کردن حرکت جانبی از طریق دسترسی از طریق پروتکل ریموت دسکتاپ (RDP).

علاوه بر این، یک تکنیک قابل توجه برای فرار، استفاده از زیردامنه‌های تونل کلودفلر است که مکان واقعی سرور C2 را پنهان می‌کند. آدرس‌های IP کدگذاری شده به عنوان پشتیبان برای حفظ اتصال در صورت اختلال در تونل‌ها عمل می‌کنند.

ردیابی تهدید: اهداف گذشته و انگیزه‌های فعلی

پیش از این در سال ۲۰۲۵، Interlock RAT با استفاده از نسخه Node.js در حملاتی به دولت‌های محلی و مؤسسات آموزشی در بریتانیا دست داشت. با این حال، تغییر اخیر به PHP، یک زبان توسعه وب رایج، رویکردی فرصت‌طلبانه‌تر را نشان می‌دهد که طیف وسیع‌تری از صنایع را هدف قرار می‌دهد. انتقال به PHP نشان دهنده یک تصمیم تاکتیکی برای گسترش بردارهای آلودگی است که به طور بالقوه از زیرساخت‌های آسیب‌پذیر مبتنی بر وب سوءاستفاده می‌کند.

شاخص‌های کلیدی کمپین

قربانیان و فعالان امنیت سایبری باید نسبت به نشانه‌های زیر در آخرین عملیات اینترلاک هوشیار باشند:

بردار حمله اولیه:

• تزریق‌های تک‌خطی جاوا اسکریپت در وب‌سایت‌های قانونی اما آسیب‌پذیر.
• هدایت به صفحات جعلی CAPTCHA با استفاده از فیلتر کردن IP.

رفتار بدافزار پس از آلودگی:

• شناسایی میزبان و استخراج اطلاعات سیستم با فرمت JSON.
• بررسی امتیاز و اجرای پیلود از راه دور.
• ماندگاری مبتنی بر رجیستری و بهره‌برداری از RDP برای جابجایی.

نتیجه‌گیری: پروفایل تهدیدات رو به رشد گروه اینترلاک

ظهور نوع PHP از Interlock RAT، نشان‌دهنده‌ی تطبیق‌پذیری رو به رشد این گروه و قصد آنها برای پیشی گرفتن از اقدامات دفاعی است. مهاجمان Interlock با بهره‌گیری از اسکریپت‌نویسی وب و ویژگی‌های سیستم بومی، در حال محو کردن مرزهای بین ارائه بدافزار سنتی و سوءاستفاده‌ی خلاقانه از قابلیت‌های روزمره‌ی سیستم هستند. تیم‌های امنیتی باید هوشیار باشند و دفاع‌های لایه‌ای را برای شناسایی و مسدود کردن چنین تهدیدهای در حال تکاملی پیاده‌سازی کنند.