Több licencre vonatkozó kedvezményes árajánlat
Veszély-adatbázis Távoli adminisztrációs eszközök Interlock RAT

Interlock RAT

Mezo -ra Távoli adminisztrációs eszközök, Advanced Persistent Threat (APT), Ransomware-ben
Fordítás ide:

Az Interlock zsarolóvírus-művelet mögött álló kiberbűnözők fokozzák erőfeszítéseiket az egyedi távoli hozzáférést biztosító trójai (RAT), az Interlock RAT újonnan kifejlesztett PHP-változatával, más néven NodeSnake-kel. Ezt a továbbfejlesztett fenyegetést egy széles körű kampányban figyelték meg, amely a FileFix nevű továbbfejlesztett kézbesítési mechanizmust használta, amely a korábban ismert ClickFix technika leszármazottja. A fejlesztés jelentős változást jelent a csoport támadási stratégiájában, kiterjesztve hatókörüket és növekvő technikai kifinomultságot mutatva.

Lopakodó belépés: szkriptbefecskendezés és forgalomátirányítás

A 2025 májusa óta aktív kampány azzal kezdődik, hogy feltört weboldalakba egy látszólag ártalmatlan, egysoros JavaScript kódrészletet injektálnak, amelyeket a HTML-kódba rejtenek. Ez a szkript forgalomelosztó rendszerként (TDS) működik, IP-alapú szűrést alkalmazva, hogy a célzott látogatókat hamis CAPTCHA ellenőrző oldalakra irányítsa át. Ezek a csalárd oldalak ClickFix-alapú csalikra támaszkodnak, hogy a felhasználókat rosszindulatú PowerShell szkriptek futtatására kényszerítsék. Az eredmény az Interlock RAT telepítése, amely a támadóknak lehetőséget ad az áldozat rendszerében való megtelepedésre.

FileFix: Fegyverré tett kézbesítési innováció

A 2025 júniusában megfigyelt legújabb kampányok a ClickFix fejlettebb verzióját, a FileFixet, mint alapvető fertőzési vektort mutatják be. A FileFix a Windows Fájlkezelő címsorát használja ki, hogy társadalmilag manipulálja a felhasználókat rosszindulatú parancsok futtatására. Az eredetileg 2025 júniusában koncepcióbizonyítékként bemutatott FileFixet mostanra működőképessé tették az Interlock RAT PHP-változatának terjesztésére, és bizonyos esetekben ez a telepítés a hagyományosabb, Node.js-alapú változat telepítésének előfutáraként szolgál.

Többfokozatú hasznos teher és lopakodó képességek

A telepítést követően az Interlock RAT elindítja a gazdagép felderítését és a rendszerinformációk kiszivárgását JSON formátumban. Ellenőrzi a jogosultsági szinteket (USER, ADMIN vagy SYSTEM), és kapcsolatot létesít egy távoli parancs- és vezérlő (C2) szerverrel. További hasznos adatokat, EXE vagy DLL fájlokat, kér le végrehajtásra.

  • A perzisztencia mechanizmusai a következők:
  • A Windows rendszerleíró adatbázis módosítása az indítási végrehajtás fenntartása érdekében.
  • Oldalirányú mozgás engedélyezése a Remote Desktop Protocol (RDP) hozzáférésen keresztül.

Továbbá egy figyelemre méltó kitérési technika a Cloudflare Tunnel aldomének használata, amelyek elfedik a C2 szerver tényleges helyét. A fixen kódolt IP-címek biztonsági mentésként szolgálnak a kapcsolat fenntartására, ha az alagutak megszakadnak.

A fenyegetés nyomon követése: múltbeli célpontok és jelenlegi indítékok

2025 elején az Interlock RAT részt vett helyi önkormányzatok és oktatási intézmények elleni támadásokban az Egyesült Királyságban, a Node.js variánst kihasználva. A PHP-re, egy elterjedt webfejlesztő nyelvre való közelmúltbeli áttérés azonban egy opportunistabb megközelítésre utal, amely az iparágak szélesebb körét célozza meg. A PHP-re való áttérés egy taktikai döntést jelez a fertőzési vektorok szélesítése érdekében, potenciálisan kihasználva a sebezhető webalapú infrastruktúrákat.

A kampány főbb mutatói

Az áldozatoknak és a kiberbiztonsági munkatársaknak figyelniük kell az Interlock legújabb műveleteinek következő jellemzőire:

Kezdeti támadási vektor:

  • Egysoros JavaScript injekciók legitim, de feltört webhelyeken.
  • Átirányítás hamis CAPTCHA oldalakra IP-szűrés használatával.

Kártevő viselkedése fertőzés után:

  • Gazdagép-felderítés és JSON formátumú rendszerinformációk kiszűrése.
  • Jogosultság-ellenőrzések és távoli hasznos teher végrehajtása.
  • Beállításjegyzék-alapú adatmegőrzés és RDP-kihasználás mozgatáshoz.

Következtetés: Az Interlock Group növekvő fenyegetettségi profilja

Az Interlock RAT PHP-változatának megjelenése jól mutatja a csoport növekvő sokoldalúságát és azon szándékát, hogy a védekező ellenintézkedések terén is megelőzze a többieket. A webes szkriptek és a natív rendszerfunkciók kihasználásával az Interlock támadói elmossák a határvonalakat a hagyományos rosszindulatú programok terjesztése és a mindennapi rendszerfunkciók kreatív visszaélése között. A biztonsági csapatoknak továbbra is ébernek kell maradniuk, és többrétegű védelmet kell bevezetniük az ilyen fejlődő fenyegetések észlelése és blokkolása érdekében.

Felkapott

Legnézettebb

Betöltés...