Interlock RAT
ឧក្រិដ្ឋជនតាមអ៊ីនធឺណិតនៅពីក្រោយប្រតិបត្តិការ ransomware Interlock កំពុងបង្កើនកិច្ចខិតខំប្រឹងប្រែងរបស់ពួកគេជាមួយនឹងកំណែ PHP ដែលបានអភិវឌ្ឍថ្មីនៃ trojan ផ្ទាល់ខ្លួនរបស់ពួកគេ (RAT), Interlock RAT ដែលត្រូវបានគេស្គាល់ថា NodeSnake ។ ការគំរាមកំហែងដែលបានធ្វើឱ្យប្រសើរឡើងនេះត្រូវបានគេសង្កេតឃើញនៅក្នុងយុទ្ធនាការដ៏ទូលំទូលាយមួយដោយប្រើយន្តការចែកចាយដែលបានវិវត្តដែលមានឈ្មោះថា FileFix ដែលជាលទ្ធផលនៃបច្ចេកទេស ClickFix ដែលគេស្គាល់ពីមុន។ ការអភិវឌ្ឍន៍នេះគឺជាការផ្លាស់ប្តូរដ៏សំខាន់នៅក្នុងយុទ្ធសាស្ត្រវាយប្រហាររបស់ក្រុម ដោយពង្រីកការឈានទៅដល់របស់ពួកគេ និងបង្ហាញពីការបង្កើនភាពស្មុគ្រស្មាញផ្នែកបច្ចេកទេស។
តារាងមាតិកា
ធាតុសម្ងាត់៖ ការចាក់ស្គ្រីប និងការប្តូរទិសចរាចរណ៍
យុទ្ធនាការដែលសកម្មតាំងពីខែឧសភា ឆ្នាំ 2025 ចាប់ផ្តើមជាមួយនឹងគេហទំព័រដែលត្រូវបានសម្របសម្រួលដែលត្រូវបានចាក់បញ្ចូលជាមួយព័ត៌មាន JavaScript តែមួយបន្ទាត់ដែលមើលទៅហាក់ដូចជាស្លូតបូតដែលកប់នៅក្នុងកូដ HTML ។ ស្គ្រីបនេះមានមុខងារជាប្រព័ន្ធចែកចាយចរាចរណ៍ (TDS) ដោយប្រើប្រាស់ការច្រោះតាម IP ដើម្បីបញ្ជូនអ្នកទស្សនាគោលដៅទៅកាន់ទំព័រផ្ទៀងផ្ទាត់ CAPTCHA ក្លែងក្លាយ។ ទំព័រក្លែងបន្លំទាំងនេះពឹងផ្អែកលើការទាក់ទាញដែលមានមូលដ្ឋានលើ ClickFix ដើម្បីបញ្ឆោតអ្នកប្រើប្រាស់ឱ្យដំណើរការស្គ្រីប PowerShell ដែលមានគំនិតអាក្រក់។ លទ្ធផលគឺការដំឡើង Interlock RAT ដែលផ្តល់ឱ្យអ្នកវាយប្រហារនូវកន្លែងឈរជើងនៅក្នុងប្រព័ន្ធរបស់ជនរងគ្រោះ។
FileFix៖ ការច្នៃប្រឌិតចែកចាយអាវុធ
យុទ្ធនាការចុងក្រោយបំផុតដែលបានសង្កេតនៅក្នុងខែមិថុនា ឆ្នាំ 2025 បង្ហាញពីការប្រើប្រាស់ FileFix ដែលជាកំណែកម្រិតខ្ពស់នៃ ClickFix ដែលជាវ៉ិចទ័រឆ្លងមេរោគស្នូល។ FileFix កេងប្រវ័ញ្ចរបារអាសយដ្ឋានរបស់ Windows File Explorer ដល់អ្នកប្រើប្រាស់វិស្វករសង្គមក្នុងការដំណើរការពាក្យបញ្ជាព្យាបាទ។ ដើមឡើយត្រូវបានបង្ហាញជាភស្តុតាងនៃគំនិតនៅក្នុងខែមិថុនា ឆ្នាំ 2025 ឥឡូវនេះ FileFix ត្រូវបានដំណើរការដើម្បីចែកចាយបំរែបំរួល PHP នៃ Interlock RAT ហើយក្នុងករណីខ្លះ ការដាក់ពង្រាយនេះដើរតួជាបុព្វហេតុនៃការដំឡើងវ៉ារ្យ៉ង់ដែលមានមូលដ្ឋានលើ Node.js ប្រពៃណី។
ការផ្ទុកច្រើនដំណាក់កាល និងសមត្ថភាពបំបាំងកាយ
នៅពេលដែលត្រូវបានដាក់ពង្រាយ Interlock RAT ផ្តួចផ្តើមការឈ្លបយកការណ៍របស់ម៉ាស៊ីន និងការបណ្តេញព័ត៌មានប្រព័ន្ធក្នុងទម្រង់ JSON ។ វាពិនិត្យរកមើលកម្រិតសិទ្ធិ (USER, ADMIN, ឬ SYSTEM) និងបង្កើតទំនាក់ទំនងជាមួយម៉ាស៊ីនមេបញ្ជាពីចម្ងាយ (C2) ។ បន្ទុកបន្ថែម ទាំងឯកសារ EXE ឬ DLL ត្រូវបានទៅយកសម្រាប់ការប្រតិបត្តិ។
- យន្តការតស៊ូរួមមាន:
- ការកែប្រែ Windows Registry ដើម្បីរក្សាការប្រតិបត្តិការចាប់ផ្តើម។
- បើកដំណើរការចលនានៅពេលក្រោយតាមរយៈការចូលប្រើ Remote Desktop Protocol (RDP)។
ជាងនេះទៅទៀត បច្ចេកទេសគេចវេសដ៏គួរឱ្យកត់សម្គាល់មួយពាក់ព័ន្ធនឹងការប្រើប្រាស់ដែនរង Cloudflare Tunnel ដោយបិទបាំងទីតាំងពិតប្រាកដរបស់ម៉ាស៊ីនមេ C2 ។ អាសយដ្ឋាន IP ដែលមានកូដរឹង បម្រើជាការបម្រុងទុក ដើម្បីរក្សាការតភ្ជាប់ ប្រសិនបើផ្លូវរូងក្រោមដីត្រូវបានរំខាន។
តាមដានការគំរាមកំហែង៖ គោលដៅអតីតកាល និងកត្តាជំរុញបច្ចុប្បន្ន
នៅដើមឆ្នាំ 2025 Interlock RAT បានជាប់ពាក់ព័ន្ធក្នុងការវាយប្រហារលើរដ្ឋាភិបាលក្នុងតំបន់ និងស្ថាប័នអប់រំក្នុងចក្រភពអង់គ្លេស ដោយប្រើប្រាស់វ៉ារ្យ៉ង់ Node.js ។ ទោះជាយ៉ាងណាក៏ដោយ ការផ្លាស់ប្តូរថ្មីៗទៅកាន់ PHP ដែលជាភាសាអភិវឌ្ឍន៍គេហទំព័រទូទៅ បង្ហាញពីវិធីសាស្រ្តឱកាសនិយមដែលផ្តោតលើឧស្សាហកម្មធំទូលាយ។ ការផ្លាស់ប្តូរទៅ PHP បង្ហាញពីការសម្រេចចិត្តបែបយុទ្ធសាស្ត្រដើម្បីពង្រីកវ៉ិចទ័រឆ្លងមេរោគ ដែលអាចទាញយកប្រយោជន៍ពីហេដ្ឋារចនាសម្ព័ន្ធគេហទំព័រដែលងាយរងគ្រោះ។
សូចនាករសំខាន់ៗនៃយុទ្ធនាការ
ជនរងគ្រោះ និងប្រតិបត្តិករសន្តិសុខតាមអ៊ីនធឺណិតគួរតែប្រុងប្រយ័ត្នចំពោះចំណុចសំខាន់ៗខាងក្រោមនៃប្រតិបត្តិការចុងក្រោយបំផុតរបស់ Interlock៖
វ៉ិចទ័រនៃការវាយប្រហារដំបូង៖
- ការចាក់ JavaScript តែមួយបន្ទាត់នៅលើគេហទំព័រស្របច្បាប់ ប៉ុន្តែមានការសម្របសម្រួល។
- ប្តូរទិសទៅទំព័រ CAPTCHA ក្លែងក្លាយដោយប្រើតម្រង IP ។
ឥរិយាបទ Malware ក្រោយឆ្លងមេរោគ៖
- ការឈ្លបយកការណ៍របស់ម្ចាស់ផ្ទះ និងការស្រង់ព័ត៌មានប្រព័ន្ធដែលធ្វើទ្រង់ទ្រាយ JSON ។
- ការត្រួតពិនិត្យឯកសិទ្ធិ និងការប្រតិបត្តិបន្ទុកពីចម្ងាយ។
- ការតស៊ូផ្អែកលើការចុះបញ្ជី និងការកេងប្រវ័ញ្ច RDP សម្រាប់ចលនា។
សេចក្តីសន្និដ្ឋាន៖ ទម្រង់ការគំរាមកំហែងដែលកំពុងកើនឡើងរបស់ក្រុម Interlock
ការលេចចេញនូវកំណែ PHP នៃ Interlock RAT បង្ហាញពីការរីកចំរើន និងចេតនារបស់ក្រុមដើម្បីរក្សាការនាំមុខនៃវិធានការការពារ។ តាមរយៈការប្រើប្រាស់ទាំងការសរសេរគេហទំព័រ និងលក្ខណៈពិសេសប្រព័ន្ធដើម អ្នកវាយប្រហារ Interlock កំពុងធ្វើឱ្យព្រិលបន្ទាត់រវាងការចែកចាយមេរោគតាមបែបប្រពៃណី និងការរំលោភបំពានប្រកបដោយភាពច្នៃប្រឌិតនៃមុខងារប្រព័ន្ធប្រចាំថ្ងៃ។ ក្រុមសន្តិសុខគួរតែរក្សាការប្រុងប្រយ័ត្ន និងអនុវត្តការការពារជាស្រទាប់ ដើម្បីស្វែងរក និងទប់ស្កាត់ការគំរាមកំហែងដែលវិវត្តន៍បែបនេះ។
