Kelių licencijų nuolaidos pasiūlymas
Grėsmių duomenų bazė Nuotolinio administravimo įrankiai Interlock RAT

Interlock RAT

Autorius Mezo, Nuotolinio administravimo įrankiai, Išplėstinė nuolatinė grėsmė (APT), Ransomware
Versti į:

Kibernetiniai nusikaltėliai, sukūrę išpirkos reikalaujančią programinę įrangą „Interlock“, stiprina savo pastangas naudodami naujai sukurtą nuotolinės prieigos Trojos arklio (RAT) PHP variantą „Interlock RAT“, dar žinomą kaip „NodeSnake“. Ši patobulinta grėsmė buvo pastebėta plačiai paplitusioje kampanijoje, naudojant patobulintą pristatymo mechanizmą, vadinamą „FileFix“ – anksčiau žinomos „ClickFix“ technikos atšaką. Šis kūrinys žymi reikšmingą grupės atakų strategijos pokytį, išplečiant jų pasiekiamumą ir demonstruojant didėjantį techninį sudėtingumą.

Slaptas įėjimas: scenarijaus injekcija ir srauto peradresavimas

Kampanija, vykdoma nuo 2025 m. gegužės mėn., prasideda nuo užkrėstų svetainių, įterptų, regis, nekenksmingą vienos eilutės „JavaScript“ fragmentą, paslėptą HTML kode. Šis scenarijus veikia kaip srauto paskirstymo sistema (TDS), naudodama IP pagrindu filtravimą, kad nukreiptų tikslinius lankytojus į netikrus CAPTCHA patvirtinimo puslapius. Šie apgaulingi puslapiai naudoja „ClickFix“ pagrindu veikiančias masalas, kad apgautų vartotojus ir priverstų juos vykdyti kenkėjiškus „PowerShell“ scenarijus. Rezultatas – „Interlock RAT“ įdiegimas, suteikiantis užpuolikams galimybę įsitvirtinti aukos sistemoje.

„FileFix“: ginklu paversta pristatymo inovacija

Naujausios 2025 m. birželio mėn. stebėtos kampanijos rodo, kad pagrindinis užkrato vektorius yra „FileFix“, pažangesnė „ClickFix“ versija. „FileFix“ išnaudoja „Windows“ failų naršyklės adreso juostą, kad socialiai manipuliuotų vartotojais ir priverstų juos vykdyti kenkėjiškas komandas. Iš pradžių 2025 m. birželio mėn. demonstruotas kaip koncepcijos įrodymas, „FileFix“ dabar yra praktiškai pritaikytas platinti „Interlock RAT“ PHP variantą, o kai kuriais atvejais šis diegimas yra pirmtakas tradiciškesnio „Node.js“ pagrindu sukurto varianto diegimui.

Daugiapakopė naudingoji apkrova ir slaptos galimybės

Įdiegus „Interlock RAT“, jis inicijuoja pagrindinio kompiuterio žvalgybą ir sistemos informacijos išgavimą JSON formatu. Jis patikrina privilegijų lygius (USER, ADMIN arba SYSTEM) ir užmezga ryšį su nuotoliniu komandų ir valdymo (C2) serveriu. Vykdymui parsisiunčiami papildomi naudingieji failai – EXE arba DLL failai.

  • Išlikimo mechanizmai apima:
  • „Windows“ registro modifikavimas, siekiant išlaikyti paleidimo vykdymą.
  • Įgalinamas šoninis judėjimas naudojant nuotolinio darbalaukio protokolo (RDP) prieigą.

Be to, pastebimas apėjimo būdas yra „Cloudflare Tunnel“ subdomenų naudojimas, kuris maskuoja tikrąją C2 serverio vietą. Užkoduoti IP adresai naudojami kaip atsarginės kopijos, siekiant palaikyti ryšį, jei tuneliai sutrikdomi.

Grėsmės sekimas: praeities taikiniai ir dabartiniai motyvai

Anksčiau 2025 m. „Interlock RAT“ dalyvavo atakose prieš vietos valdžios institucijas ir švietimo įstaigas Jungtinėje Karalystėje, pasitelkdama „Node.js“ variantą. Tačiau neseniai įvykęs perėjimas prie PHP, įprastos žiniatinklio kūrimo kalbos, rodo labiau oportunistinį požiūrį, nukreiptą į platesnį pramonės šakų spektrą. Perėjimas prie PHP rodo taktinį sprendimą išplėsti infekcijos vektorius, potencialiai išnaudojant pažeidžiamas žiniatinklio infrastruktūras.

Pagrindiniai kampanijos rodikliai

Aukos ir kibernetinio saugumo darbuotojai turėtų atkreipti dėmesį į šiuos „Interlock“ naujausių operacijų požymius:

Pradinis atakos vektorius:

  • Vienos eilutės „JavaScript“ injekcijos į teisėtas, bet pažeistas svetaines.
  • Peradresavimas į netikrus CAPTCHA puslapius naudojant IP filtravimą.

Kenkėjiškų programų elgesys po užkrėtimo:

  • Pagrindinio kompiuterio žvalgyba ir JSON formato sistemos informacijos išgavimas.
  • Privilegijų patikrinimai ir nuotolinis naudingosios apkrovos vykdymas.
  • Registro pagrindu veikiantis duomenų išsaugojimas ir RDP išnaudojimas perkėlimui.

Išvada: augantis „Interlock Group“ grėsmės profilis

„Interlock RAT“ PHP varianto atsiradimas rodo grupės augantį universalumą ir siekį būti gynybinių atsakomųjų priemonių priešakyje. Naudodamiesi tiek žiniatinklio scenarijais, tiek vietinėmis sistemos funkcijomis, „Interlock“ užpuolikai ištrina ribas tarp tradicinio kenkėjiškų programų platinimo ir kūrybiško piktnaudžiavimo kasdienėmis sistemos funkcijomis. Apsaugos komandos turėtų išlikti budrios ir įdiegti daugiasluoksnę apsaugą, kad aptiktų ir blokuotų tokias besivystančias grėsmes.

Tendencijos

Labiausiai žiūrima

Kenkėjiška programa

Sukčiavimas, Šlamštas
35,768
Sukčiavimo pranešimas „Apple Pay Suspended“ yra sukčiavimo taktika, skirta „Apple Pay“ naudotojams. Pranešime teigiama, kad vartotojo Apple Pay piniginė buvo sustabdyta, ir raginama spustelėti nuorodą, kad ją atkurtumėte. Tačiau spustelėjęs nuorodą vartotojas pateks į netikrą svetainę, kuri skirta pavogti jo asmeninę ir finansinę informaciją. Jei vartotojas tampa šios schemos auka, pasekmės...
Įkeliama...