Interlock RAT
Interlock-kiristysohjelmaoperaation takana olevat kyberrikolliset tehostavat toimintaansa uudella PHP-muunnelmalla räätälöidystä etäkäyttötroijalaisesta (RAT), Interlock RAT:sta, joka tunnetaan myös nimellä NodeSnake. Tätä päivitettyä uhkaa on havaittu laajalle levinneessä kampanjassa, jossa käytetään kehittynyttä FileFix-nimistä toimitusmekanismia, joka on aiemmin tunnetun ClickFix-tekniikan sivuhaara. Kehitys merkitsee merkittävää muutosta ryhmän hyökkäysstrategiassa, laajentaen heidän ulottuvuuttaan ja osoittaen kasvavaa teknistä hienostuneisuutta.
Sisällysluettelo
Salamyhkäinen pääsy: Skriptien injektointi ja liikenteen uudelleenohjaus
Toukokuusta 2025 lähtien käynnissä ollut kampanja alkaa vaarantuneilla verkkosivustoilla, joihin on upotettu näennäisen vaaraton yksirivinen JavaScript-koodinpätkä HTML-koodiin. Tämä skripti toimii liikenteenjakelujärjestelmänä (TDS) ja käyttää IP-pohjaista suodatusta ohjatakseen kohdennettuja kävijöitä väärennetyille CAPTCHA-vahvistussivuille. Nämä vilpilliset sivut käyttävät ClickFix-pohjaisia houkuttimia huijatakseen käyttäjiä suorittamaan haitallisia PowerShell-skriptejä. Tuloksena on Interlock RAT:n asennus, joka antaa hyökkääjille jalansijaa uhrin järjestelmässä.
FileFix: Aseistettu toimitusinnovaatio
Kesäkuussa 2025 havaitut uusimmat kampanjat osoittavat FileFixin, ClickFixin kehittyneemmän version, käytön tartuntavektorina. FileFix hyödyntää Windowsin tiedostoselaimen osoiteriviä manipuloidakseen käyttäjiä sosiaalisesti suorittamaan haitallisia komentoja. Alun perin kesäkuussa 2025 konseptitodistuksena esitelty FileFix on nyt otettu käyttöön Interlock RATin PHP-version levittämiseen, ja joissakin tapauksissa tämä käyttöönotto toimii edeltäjänä perinteisemmän Node.js-pohjaisen version asentamiselle.
Monivaiheiset hyötykuormat ja häiveominaisuudet
Käyttöönoton jälkeen Interlock RAT aloittaa isäntätiedustelu- ja järjestelmätietojen vuotamisen JSON-muodossa. Se tarkistaa käyttöoikeustasot (USER, ADMIN tai SYSTEM) ja muodostaa yhteyden etäkomento- ja -hallintapalvelimeen (C2). Lisähyötykuormat, joko EXE- tai DLL-tiedostot, noudetaan suoritettavaksi.
- Pysyvyysmekanismeihin kuuluvat:
- Windowsin rekisterin muokkaaminen käynnistyksen suorittamisen ylläpitämiseksi.
- Sivuttaisliikkeen mahdollistaminen etätyöpöytäprotokollan (RDP) kautta.
Lisäksi huomattava väistötekniikka liittyy Cloudflare Tunnel -aliverkkotunnusten käyttöön, jotka peittävät C2-palvelimen todellisen sijainnin. Kovakoodatut IP-osoitteet toimivat varmuuskopioina yhteyden ylläpitämiseksi, jos tunnelit häiriintyvät.
Uhan seuranta: menneet kohteet ja nykyiset motiivit
Aiemmin vuonna 2025 Interlock RAT oli osallisena hyökkäyksissä paikallishallintoon ja oppilaitoksiin Isossa-Britanniassa hyödyntäen Node.js-varianttia. Viimeaikainen siirtyminen PHP:hen, yleiseen web-kehityskieleen, viittaa kuitenkin opportunistisempaan lähestymistapaan, joka kohdistuu laajempaan toimialajoukkoon. Siirtyminen PHP:hen osoittaa taktisen päätöksen laajentaa tartuntavektoreita ja mahdollisesti hyödyntää haavoittuvia web-pohjaisia infrastruktuureja.
Kampanjan keskeiset indikaattorit
Uhrien ja kyberturvallisuustyöntekijöiden tulisi olla valppaina Interlockin viimeisimpien toimintojen seuraavien tunnusmerkkien suhteen:
Alkuperäinen hyökkäysvektori:
- Yhden rivin JavaScript-injektioita laillisille mutta vaarantuneille verkkosivustoille.
- Uudelleenohjaus väärennetyille CAPTCHA-sivuille IP-suodatuksen avulla.
Haittaohjelmien käyttäytyminen tartunnan jälkeen:
- Isännän tiedustelu ja JSON-muotoiltu järjestelmätietojen vuotaminen.
- Käyttöoikeustarkistukset ja hyötykuorman etäsuoritus.
- Rekisteripohjainen pysyvyys ja RDP:n hyödyntäminen liikkuvuutta varten.
Johtopäätös: Interlock Groupin kasvava uhkaprofiili
Interlock RATin PHP-muunnelman esiinmarssi osoittaa konsernin kasvavaa monipuolisuutta ja pyrkimystä pysyä puolustustoimien edellä. Hyödyntämällä sekä verkkoskriptejä että natiiveja järjestelmäominaisuuksia Interlock-hyökkääjät hämärtävät rajoja perinteisen haittaohjelmien toimituksen ja arkipäiväisten järjestelmätoimintojen luovan väärinkäytön välillä. Tietoturvatiimien tulisi pysyä valppaina ja ottaa käyttöön kerrostettuja puolustusmenetelmiä tällaisten kehittyvien uhkien havaitsemiseksi ja estämiseksi.
