הצעת הנחה מרובה רישיונות
מסד נתונים של איומים כלי ניהול מרחוק Interlock RAT

Interlock RAT

עד Mezo ב-כלי ניהול מרחוק, איום מתמשך מתקדם (APT), תוכנת כופר
לתרגם ל:

פושעי הסייבר שעומדים מאחורי מבצע הכופר Interlock מגבירים את מאמציהם באמצעות גרסת PHP חדשה של טרויאן גישה מרחוק (RAT) המותאם אישית שלהם, Interlock RAT, המכונה גם NodeSnake. איום משודרג זה נצפה בקמפיין נרחב המשתמש במנגנון אספקה מפותח בשם FileFix, שלוחה של טכניקת ClickFix הידועה בעבר. הפיתוח מסמן שינוי משמעותי באסטרטגיית התקיפה של הקבוצה, מרחיב את טווח ההגעה שלהם ומדגים תחכום טכני גובר.

כניסה חשאית: הזרקת סקריפטים והפניית תנועה

הקמפיין, הפעיל מאז מאי 2025, מתחיל באתרים פרוצים, אליהם מוזרק קטע JavaScript בן שורה אחת, לכאורה שפיר, הקבור בקוד ה-HTML. סקריפט זה מתפקד כמערכת הפצת תנועה (TDS), המשתמשת בסינון מבוסס IP כדי להפנות מבקרים ממוקדים לדפי אימות CAPTCHA מזויפים. דפים הונאה אלה מסתמכים על פיתיונות מבוססי ClickFix כדי להערים על משתמשים ולגרום להם להריץ סקריפטים זדוניים של PowerShell. התוצאה היא התקנת Interlock RAT, המעניקה לתוקפים דריסת רגל במערכת של הקורבן.

FileFix: חדשנות במשלוחים מבוססת נשק

הקמפיינים האחרונים שנצפו ביוני 2025 מציגים את השימוש ב-FileFix, גרסה מתקדמת יותר של ClickFix, כווקטור ההדבקה העיקרי. FileFix מנצל את שורת הכתובת של סייר הקבצים של Windows כדי לגרום למשתמשים להריץ פקודות זדוניות. FileFix, שהודגם במקור כהוכחת היתכנות ביוני 2025, הופעל כעת להפצת גרסת PHP של Interlock RAT, ובמקרים מסוימים, פריסה זו משמשת כמבשר להתקנת הגרסה המסורתית יותר המבוססת על Node.js.

מטענים רב-שלביים ויכולות התגנבות

לאחר הפריסה, Interlock RAT יוזם סיור מארח וחילוץ מידע מערכת בפורמט JSON. הוא בודק רמות הרשאות (USER, ADMIN או SYSTEM) ויוצר קשר עם שרת פיקוד ובקרה מרוחק (C2). מטענים נוספים, קבצי EXE או DLL, נשלפים לצורך ביצוע.

  • מנגנוני ההתמדה כוללים:
  • שינוי הרישום של Windows כדי לשמור על ביצוע האתחול.
  • מאפשר תנועה צידית באמצעות גישה לפרוטוקול שולחן עבודה מרוחק (RDP).

יתר על כן, טכניקת התחמקות בולטת כוללת שימוש בתת-דומיינים של Cloudflare Tunnel, המסתירה את מיקומו האמיתי של שרת C2. כתובות IP מקודדות קשיח משמשות כגיבויים לשמירה על קישוריות במקרה של הפרעות במנהרות.

מעקב אחר האיום: מטרות עבר ומניעים בהווה

מוקדם יותר בשנת 2025, Interlock RAT הייתה מעורבת במתקפות על מוסדות ממשל מקומיים ומוסדות חינוך בבריטניה, תוך ניצול גרסת Node.js. עם זאת, המעבר האחרון ל-PHP, שפת פיתוח אתרים נפוצה, מצביע על גישה אופורטוניסטית יותר המכוונת למגוון רחב יותר של תעשיות. המעבר ל-PHP מצביע על החלטה טקטית להרחיב את וקטורי ההדבקה, תוך ניצול פוטנציאלי של תשתיות אינטרנט פגיעות.

אינדיקטורים מרכזיים של הקמפיין

על קורבנות ואנשי אבטחת סייבר להיות ערים לסימנים המסחריים הבאים של פעולותיה האחרונות של Interlock:

וקטור התקפה ראשוני:

  • הזרקות JavaScript בשורה אחת באתרים לגיטימיים אך פגועים.
  • הפניה לדפי CAPTCHA מזויפים באמצעות סינון IP.

התנהגות תוכנה זדונית לאחר הדבקה:

  • סיור מארח וחילוץ מידע מערכת בפורמט JSON.
  • בדיקות הרשאות וביצוע מטען מרחוק.
  • ניצול RDP ושמירה על תפקוד מבוסס רישום לצורך תנועה.

סיכום: פרופיל האיומים הגדל של קבוצת אינטרלוק

הופעתה של גרסת ה-PHP של Interlock RAT מדגימה את הרבגוניות הגוברת של הקבוצה ואת כוונתה להקדים את אמצעי הנגד ההגנתיים. על ידי מינוף סקריפטים מקוונים ותכונות מערכת מקוריות, תוקפי Interlock מטשטשים את הגבולות בין העברת תוכנות זדוניות מסורתיות לבין ניצול לרעה יצירתי של פונקציונליות מערכת יומיומית. צוותי אבטחה צריכים להישאר ערניים וליישם הגנות שכבות כדי לזהות ולחסום איומים מתפתחים כאלה.

מגמות

הכי נצפה

תוכנה זדונית

פישינג, ספאם
35,768
הודעת ההונאה 'Apple Pay Suspended' היא סוג של טקטיקת פישינג המכוונת למשתמשים של Apple Pay. ההודעה טוענת כי ארנק Apple Pay של המשתמש הושעה וקוראת לו ללחוץ על קישור כדי לשחזר אותו. עם זאת, לחיצה על הקישור תוביל את המשתמש לאתר מזויף שנועד לגנוב את המידע האישי והפיננסי שלו. אם משתמש נופל קורבן לתוכנית זו, ההשלכות עלולות להיות חמורות, כולל הפסדים כספיים וגניבת זהות. חיוני לדעת לזהות ולהימנע...
טוען...