Interlock RAT

इंटरलॉक रैंसमवेयर अभियान के पीछे साइबर अपराधी अपने कस्टम रिमोट एक्सेस ट्रोजन (RAT), इंटरलॉक RAT, जिसे नोडस्नेक भी कहा जाता है, के एक नए विकसित PHP संस्करण के साथ अपने प्रयासों को बढ़ा रहे हैं। इस उन्नत खतरे को एक व्यापक अभियान में देखा गया है जिसमें FileFix नामक एक विकसित वितरण तंत्र का उपयोग किया जा रहा है, जो पहले से ज्ञात ClickFix तकनीक का एक उप-उत्पाद है। यह विकास समूह की आक्रमण रणनीति में एक महत्वपूर्ण बदलाव को दर्शाता है, जिससे उनकी पहुँच का विस्तार होता है और तकनीकी परिष्कार में वृद्धि होती है।

गुप्त प्रविष्टि: स्क्रिप्ट इंजेक्शन और ट्रैफ़िक पुनर्निर्देशन

मई 2025 से सक्रिय यह अभियान, छेड़छाड़ की गई वेबसाइटों के HTML कोड में एक प्रतीततः सौम्य सिंगल-लाइन जावास्क्रिप्ट स्निपेट डालकर शुरू होता है। यह स्क्रिप्ट एक ट्रैफ़िक वितरण प्रणाली (TDS) के रूप में कार्य करती है, जो लक्षित विज़िटरों को नकली CAPTCHA सत्यापन पृष्ठों पर पुनर्निर्देशित करने के लिए IP-आधारित फ़िल्टरिंग का उपयोग करती है। ये धोखाधड़ी वाले पृष्ठ, उपयोगकर्ताओं को दुर्भावनापूर्ण PowerShell स्क्रिप्ट निष्पादित करने के लिए धोखा देने हेतु ClickFix-आधारित प्रलोभनों का उपयोग करते हैं। परिणामस्वरूप, Interlock RAT की स्थापना होती है, जो हमलावरों को पीड़ित के सिस्टम में पैर जमाने का अवसर प्रदान करती है।

फ़ाइलफ़िक्स: एक हथियारबंद डिलीवरी नवाचार

जून 2025 में देखे गए नवीनतम अभियान, ClickFix के एक अधिक उन्नत संस्करण, FileFix के मुख्य संक्रमण वाहक के रूप में उपयोग को दर्शाते हैं। FileFix, विंडोज़ फ़ाइल एक्सप्लोरर के एड्रेस बार का उपयोग करके उपयोगकर्ताओं को दुर्भावनापूर्ण कमांड चलाने के लिए प्रेरित करता है। मूल रूप से जून 2025 में एक अवधारणा-सिद्धांत के रूप में प्रदर्शित, FileFix को अब Interlock RAT के PHP संस्करण को वितरित करने के लिए परिचालित किया गया है, और कुछ मामलों में, यह परिनियोजन अधिक पारंपरिक Node.js-आधारित संस्करण की स्थापना के अग्रदूत के रूप में कार्य करता है।

बहु-चरणीय पेलोड और गुप्त क्षमताएं

एक बार तैनात होने के बाद, इंटरलॉक RAT होस्ट की जाँच और JSON प्रारूप में सिस्टम जानकारी का निष्कासन शुरू करता है। यह विशेषाधिकार स्तरों (उपयोगकर्ता, व्यवस्थापक, या सिस्टम) की जाँच करता है और दूरस्थ कमांड-एंड-कंट्रोल (C2) सर्वर से संपर्क स्थापित करता है। अतिरिक्त पेलोड, चाहे EXE या DLL फ़ाइलें हों, निष्पादन के लिए लाए जाते हैं।

• दृढ़ता तंत्र में शामिल हैं:
• स्टार्टअप निष्पादन को बनाए रखने के लिए विंडोज रजिस्ट्री को संशोधित करना।
• रिमोट डेस्कटॉप प्रोटोकॉल (RDP) एक्सेस के माध्यम से पार्श्व गति को सक्षम करना।

इसके अलावा, एक उल्लेखनीय बचाव तकनीक में क्लाउडफ्लेयर टनल सबडोमेन का उपयोग शामिल है, जो C2 सर्वर के वास्तविक स्थान को छुपाता है। हार्ड-कोडेड आईपी एड्रेस, टनल में व्यवधान होने पर कनेक्टिविटी बनाए रखने के लिए बैकअप के रूप में काम करते हैं।

खतरे पर नज़र रखना: पिछले लक्ष्य और वर्तमान उद्देश्य

इससे पहले 2025 में, इंटरलॉक आरएटी ने Node.js संस्करण का लाभ उठाते हुए, यूके में स्थानीय सरकार और शैक्षणिक संस्थानों पर हमले किए थे। हालाँकि, हाल ही में एक सामान्य वेब विकास भाषा, PHP, की ओर रुख, उद्योगों की एक विस्तृत श्रृंखला को लक्षित करने वाले एक अधिक अवसरवादी दृष्टिकोण का संकेत देता है। PHP में परिवर्तन, संक्रमण के प्रसार को व्यापक बनाने और संभावित रूप से कमज़ोर वेब-आधारित अवसंरचनाओं का दोहन करने के एक रणनीतिक निर्णय को दर्शाता है।

अभियान के प्रमुख संकेतक

पीड़ितों और साइबर सुरक्षा कार्यकर्ताओं को इंटरलॉक के नवीनतम ऑपरेशनों की निम्नलिखित विशेषताओं के प्रति सतर्क रहना चाहिए:

प्रारंभिक आक्रमण वेक्टर:

• वैध लेकिन जोखिमग्रस्त वेबसाइटों पर एकल-पंक्ति जावास्क्रिप्ट इंजेक्शन।
• आईपी फ़िल्टरिंग का उपयोग करके नकली कैप्चा पृष्ठों पर पुनर्निर्देशन।

संक्रमण के बाद मैलवेयर का व्यवहार:

• होस्ट टोही और JSON-स्वरूपित सिस्टम जानकारी निष्कासन।
• विशेषाधिकार जाँच और दूरस्थ पेलोड निष्पादन।
• रजिस्ट्री-आधारित दृढ़ता और संचलन के लिए RDP शोषण।

निष्कर्ष: इंटरलॉक समूह की बढ़ती ख़तरा प्रोफ़ाइल

इंटरलॉक आरएटी के PHP संस्करण का उदय समूह की बढ़ती बहुमुखी प्रतिभा और रक्षात्मक प्रतिवादों से आगे रहने की इच्छा को दर्शाता है। वेब स्क्रिप्टिंग और मूल सिस्टम सुविधाओं, दोनों का लाभ उठाकर, इंटरलॉक हमलावर पारंपरिक मैलवेयर वितरण और रोज़मर्रा की सिस्टम कार्यक्षमताओं के रचनात्मक दुरुपयोग के बीच की रेखा को धुंधला कर रहे हैं। सुरक्षा टीमों को सतर्क रहना चाहिए और ऐसे उभरते खतरों का पता लगाने और उन्हें रोकने के लिए स्तरित सुरक्षा लागू करनी चाहिए।