Vairāku licenču atlaides piedāvājums
Draudu datu bāze Attālās administrēšanas rīki Interlock RAT

Interlock RAT

Līdz Mezo. gadam Attālās administrēšanas rīki, Advanced Persistent Threat (APT), Ransomware. gadā
Tulkot uz:

Kibernoziedznieki, kas stāv aiz izspiedējvīrusa operācijas Interlock, pastiprina savus centienus ar jaunizstrādātu PHP variantu savam pielāgotajam attālās piekļuves Trojas zirgam (RAT) Interlock RAT, kas pazīstams arī kā NodeSnake. Šis uzlabotais apdraudējums ir novērots plašā kampaņā, izmantojot attīstītu piegādes mehānismu FileFix, kas ir iepriekš zināmās ClickFix tehnikas atzars. Šī izstrāde iezīmē būtiskas izmaiņas grupas uzbrukuma stratēģijā, paplašinot tās darbības jomu un demonstrējot pieaugošu tehnisko izsmalcinātību.

Slepena iekļūšana: skripta ievadīšana un datplūsmas pāradresācija

Kampaņa, kas ir aktīva kopš 2025. gada maija, sākas ar apdraudētām tīmekļa vietnēm, kurās HTML kodā tiek ievietots šķietami nekaitīgs vienas rindiņas JavaScript fragments. Šis skripts darbojas kā datplūsmas sadales sistēma (TDS), izmantojot uz IP adresi balstītu filtrēšanu, lai novirzītu mērķauditorijas apmeklētājus uz viltotām CAPTCHA verifikācijas lapām. Šīs krāpnieciskās lapas izmanto uz ClickFix balstītus ēsmas līdzekļus, lai maldinātu lietotājus izpildīt ļaunprātīgus PowerShell skriptus. Rezultātā tiek instalēts Interlock RAT, kas dod uzbrucējiem iespēju ielauzties upura sistēmā.

FileFix: ieroča piegādes inovācija

Jaunākās kampaņas, kas novērotas 2025. gada jūnijā, demonstrē FileFix, uzlabotas ClickFix versijas, izmantošanu kā galveno infekcijas vektoru. FileFix izmanto Windows failu pārlūka adreses joslu, lai sociāli manipulētu ar lietotājiem, liekot tiem izpildīt ļaunprātīgas komandas. Sākotnēji demonstrēts kā koncepcijas pierādījums 2025. gada jūnijā, FileFix tagad ir ieviests, lai izplatītu Interlock RAT PHP variantu, un dažos gadījumos šī izvietošana darbojas kā priekštecis tradicionālākā Node.js varianta instalēšanai.

Daudzpakāpju lietderīgā slodze un slēptās iespējas

Pēc izvietošanas Interlock RAT uzsāk resursdatora izlūkošanu un sistēmas informācijas noplūdi JSON formātā. Tas pārbauda privilēģiju līmeņus (LIETOTĀJS, ADMIN vai SYSTEM) un izveido savienojumu ar attālo komandu un vadības (C2) serveri. Izpildei tiek ielādēti papildu vērtumi, EXE vai DLL faili.

  • Noturības mehānismi ietver:
  • Windows reģistra modificēšana, lai uzturētu startēšanas izpildi.
  • Sānu kustības iespējošana, izmantojot attālās darbvirsmas protokola (RDP) piekļuvi.

Turklāt ievērojama apiešanas metode ietver Cloudflare Tunnel apakšdomēnu izmantošanu, maskējot C2 servera faktisko atrašanās vietu. Cietkodētas IP adreses kalpo kā rezerves kopijas, lai uzturētu savienojamību, ja tuneļu darbība tiek pārtraukta.

Draudu izsekošana: iepriekšējie mērķi un pašreizējie motīvi

Iepriekš 2025. gadā Interlock RAT bija iesaistīts uzbrukumos vietējām pašvaldībām un izglītības iestādēm Apvienotajā Karalistē, izmantojot Node.js variantu. Tomēr nesenā pāreja uz PHP, kas ir izplatīta tīmekļa izstrādes valoda, liecina par oportūnistiskāku pieeju, kas vērsta pret plašāku nozaru loku. Pāreja uz PHP liecina par taktisku lēmumu paplašināt inficēšanās vektorus, potenciāli izmantojot neaizsargātas tīmekļa infrastruktūras.

Kampaņas galvenie rādītāji

Cietušajiem un kiberdrošības darbiniekiem jāņem vērā šādas Interlock jaunāko darbību iezīmes:

Sākotnējais uzbrukuma vektors:

  • Vienrindas JavaScript injekcijas likumīgās, bet apdraudētās tīmekļa vietnēs.
  • Pāradresācija uz viltotām CAPTCHA lapām, izmantojot IP filtrēšanu.

Ļaunprogrammatūras darbība pēc inficēšanās:

  • Resursdatora izlūkošana un sistēmas informācijas eksfiltrācija JSON formātā.
  • Privilēģiju pārbaudes un attālināta vērtuma izpilde.
  • Uz reģistru balstīta noturība un RDP izmantošana pārvietošanai.

Secinājums: Interlock Group pieaugošais draudu profils

Interlock RAT PHP varianta parādīšanās demonstrē grupas pieaugošo daudzpusību un apņemšanos būt soli priekšā aizsardzības pretpasākumu jomā. Izmantojot gan tīmekļa skriptus, gan vietējās sistēmas funkcijas, Interlock uzbrucēji sapludina robežas starp tradicionālo ļaunprogrammatūras piegādi un ikdienas sistēmas funkcionalitātes radošu ļaunprātīgu izmantošanu. Drošības komandām jāpaliek modrām un jāievieš daudzslāņu aizsardzība, lai atklātu un bloķētu šādus mainīgus draudus.

Tendences

Visvairāk skatīts

Ļaunprātīga programmatūra

Pikšķerēšana, Mēstules
35,768
Krāpniecības ziņojums “Apple Pay Suspended” ir pikšķerēšanas taktikas veids, kas ir vērsts uz Apple Pay lietotājiem. Ziņojumā tiek apgalvots, ka lietotāja Apple Pay maka darbība ir apturēta, un tiek mudināts noklikšķināt uz saites, lai to atjaunotu. Tomēr, noklikšķinot uz saites, lietotājs tiks novirzīts uz viltotu vietni, kas paredzēta viņa personiskās un finanšu informācijas zagšanai. Ja...
Notiek ielāde...