Ponuda s popustom na više licenci
Baza prijetnji Alati za udaljenu administraciju Interlock RAT

Interlock RAT

Do Mezo. Alati za udaljenu administraciju, Napredna trajna prijetnja (APT), Ransomware. godine
Prevedi na:

Kibernetički kriminalci koji stoje iza operacije ransomwarea Interlock pojačavaju svoje napore s novo razvijenom PHP varijantom svog prilagođenog trojanca za udaljeni pristup (RAT), Interlock RAT-a, poznatog i kao NodeSnake. Ova nadograđena prijetnja uočena je u široko rasprostranjenoj kampanji korištenjem razvijenog mehanizma isporuke nazvanog FileFix, ogranka prethodno poznate tehnike ClickFix. Razvoj događaja označava značajnu promjenu u strategiji napada grupe, proširujući njihov doseg i pokazujući sve veću tehničku sofisticiranost.

Prikriveni ulazak: ubrizgavanje skripte i preusmjeravanje prometa

Kampanja, aktivna od svibnja 2025., započinje kompromitiranim web stranicama u koje je ubrizgan naizgled benigni jednolinijski JavaScript isječak zakopan u HTML kodu. Ovaj skript funkcionira kao sustav distribucije prometa (TDS), koristeći filtriranje temeljeno na IP-u za preusmjeravanje ciljanih posjetitelja na lažne CAPTCHA stranice za provjeru. Ove lažne stranice oslanjaju se na mamce temeljene na ClickFixu kako bi prevarile korisnike da izvrše zlonamjerne PowerShell skripte. Rezultat je instalacija Interlock RAT-a, što napadačima daje uporište u sustavu žrtve.

FileFix: Inovacija dostave kao oružje

Najnovije kampanje uočene u lipnju 2025. pokazuju korištenje FileFixa, naprednije verzije ClickFixa, kao glavnog vektora zaraze. FileFix iskorištava adresnu traku Windows File Explorera kako bi društveno naveo korisnike da izvršavaju zlonamjerne naredbe. Izvorno demonstriran kao probni koncept u lipnju 2025., FileFix je sada operativan za distribuciju PHP varijante Interlock RAT-a, a u nekim slučajevima ovo raspoređivanje djeluje kao prethodnica instalaciji tradicionalnije varijante temeljene na Node.js-u.

Višestupanjski korisni tereti i mogućnosti prikrivenosti

Nakon implementacije, Interlock RAT pokreće izviđanje hosta i prikupljanje sistemskih informacija u JSON formatu. Provjerava razine privilegija (KORISNIK, ADMIN ili SYSTEM) i uspostavlja kontakt s udaljenim poslužiteljem za upravljanje i kontrolu (C2). Dodatni korisni sadržaji, bilo EXE ili DLL datoteke, dohvaćaju se za izvršenje.

  • Mehanizmi perzistencije uključuju:
  • Izmjena Windows registra radi održavanja izvršavanja pri pokretanju.
  • Omogućavanje lateralnog kretanja putem pristupa putem protokola udaljene radne površine (RDP).

Štoviše, značajna tehnika izbjegavanja uključuje korištenje poddomena Cloudflare tunela, maskirajući stvarnu lokaciju C2 poslužitelja. Tvrdo kodirane IP adrese služe kao sigurnosne kopije za održavanje povezivosti ako su tuneli poremećeni.

Praćenje prijetnje: Prošli ciljevi i sadašnji motivi

Ranije 2025. godine, Interlock RAT bio je uključen u napade na lokalne vlasti i obrazovne institucije u Velikoj Britaniji, koristeći varijantu Node.js. Međutim, nedavni prelazak na PHP, uobičajeni jezik za web razvoj, sugerira oportunističkiji pristup usmjeren na širi raspon industrija. Prijelaz na PHP ukazuje na taktičku odluku o proširenju vektora zaraze, potencijalno iskorištavajući ranjive web infrastrukture.

Ključni pokazatelji kampanje

Žrtve i stručnjaci za kibernetičku sigurnost trebali bi biti svjesni sljedećih obilježja Interlockovih najnovijih operacija:

Početni vektor napada:

  • Injekcije JavaScript koda u jednom retku na legitimnim, ali kompromitiranim web stranicama.
  • Preusmjeravanje na lažne CAPTCHA stranice korištenjem IP filtriranja.

Ponašanje zlonamjernog softvera nakon infekcije:

  • Izviđanje hosta i izvlačenje sistemskih informacija u JSON formatu.
  • Provjere privilegija i udaljeno izvršavanje korisnog tereta.
  • Perzistentnost temeljena na registru i iskorištavanje RDP-a za premještanje.

Zaključak: Rastući profil prijetnje Interlock Grupe

Pojava PHP varijante Interlock RAT-a pokazuje rastuću svestranost grupe i namjeru da bude ispred obrambenih protumjera. Korištenjem web skriptiranja i izvornih značajki sustava, napadači Interlocka zamagljuju granice između tradicionalne isporuke zlonamjernog softvera i kreativne zlouporabe svakodnevnih funkcionalnosti sustava. Sigurnosni timovi trebali bi ostati oprezni i implementirati slojevitu obranu kako bi otkrili i blokirali takve prijetnje koje se stalno razvijaju.

U trendu

Nagledanije

Učitavam...