Interlock RAT
Penjenayah siber di sebalik operasi perisian tebusan Interlock meningkatkan usaha mereka dengan varian PHP yang baru dibangunkan bagi trojan akses jauh tersuai mereka (RAT), Interlock RAT, juga dikenali sebagai NodeSnake. Ancaman yang dinaik taraf ini telah diperhatikan dalam kempen yang meluas menggunakan mekanisme penyampaian berkembang yang digelar FileFix, cabang daripada teknik ClickFix yang diketahui sebelum ini. Perkembangan itu menandakan perubahan ketara dalam strategi serangan kumpulan, meluaskan jangkauan mereka dan menunjukkan peningkatan kecanggihan teknikal.
Isi kandungan
Kemasukan Senyap: Suntikan Skrip dan Ubah Arah Trafik
Kempen, aktif sejak Mei 2025, bermula dengan tapak web yang terjejas yang disuntik dengan coretan JavaScript baris tunggal yang kelihatan jinak yang terkubur dalam kod HTML. Skrip ini berfungsi sebagai sistem pengedaran trafik (TDS), menggunakan penapisan berasaskan IP untuk mengubah hala pelawat yang disasarkan ke halaman pengesahan CAPTCHA palsu. Halaman penipuan ini bergantung pada gewang berasaskan ClickFix untuk menipu pengguna supaya melaksanakan skrip PowerShell yang berniat jahat. Hasilnya ialah pemasangan Interlock RAT, memberikan penyerang bertapak dalam sistem mangsa.
FileFix: Inovasi Penghantaran Bersenjata
Kempen terbaharu yang diperhatikan pada Jun 2025 mempamerkan penggunaan FileFix, versi ClickFix yang lebih maju, sebagai vektor jangkitan teras. FileFix mengeksploitasi bar alamat Windows File Explorer untuk merekayasa pengguna secara sosial untuk menjalankan arahan berniat jahat. Pada asalnya ditunjukkan sebagai bukti-konsep pada Jun 2025, FileFix kini telah beroperasi untuk mengedarkan varian PHP Interlock RAT, dan dalam beberapa kes, penggunaan ini bertindak sebagai pendahulu kepada pemasangan varian berasaskan Node.js yang lebih tradisional.
Muatan Berbilang Peringkat dan Keupayaan Stealth
Setelah digunakan, Interlock RAT memulakan peninjauan hos dan penyingkiran maklumat sistem dalam format JSON. Ia menyemak tahap keistimewaan (USER, ADMIN, atau SYSTEM) dan mewujudkan hubungan dengan pelayan arahan dan kawalan jauh (C2). Muatan tambahan, sama ada fail EXE atau DLL, diambil untuk pelaksanaan.
- Mekanisme kegigihan termasuk:
- Mengubah suai Windows Registry untuk mengekalkan pelaksanaan permulaan.
- Mendayakan pergerakan sisi melalui akses Remote Desktop Protocol (RDP).
Selain itu, teknik pengelakan yang ketara melibatkan penggunaan subdomain Cloudflare Tunnel, menutup lokasi sebenar pelayan C2. Alamat IP berkod keras berfungsi sebagai sandaran untuk mengekalkan ketersambungan jika terowong terganggu.
Menjejaki Ancaman: Sasaran Lalu dan Motif Sekarang
Terdahulu pada tahun 2025, Interlock RAT telah terlibat dalam serangan terhadap kerajaan tempatan dan institusi pendidikan di UK, dengan memanfaatkan varian Node.js. Walau bagaimanapun, peralihan baru-baru ini kepada PHP, bahasa pembangunan web biasa, mencadangkan pendekatan yang lebih oportunistik yang menyasarkan julat industri yang lebih luas. Peralihan kepada PHP menunjukkan keputusan taktikal untuk meluaskan vektor jangkitan, yang berpotensi mengeksploitasi infrastruktur berasaskan web yang terdedah.
Petunjuk Utama Kempen
Mangsa dan koperasi keselamatan siber harus berwaspada dengan ciri-ciri berikut bagi operasi terkini Interlock:
Vektor Serangan Awal:
- Suntikan JavaScript satu baris pada tapak web yang sah tetapi terjejas.
- Ubah hala ke halaman CAPTCHA palsu menggunakan penapisan IP.
Tingkah Laku Hasad Pasca Jangkitan:
- Peninjauan hos dan exfiltration maklumat sistem berformat JSON.
- Pemeriksaan keistimewaan dan pelaksanaan muatan jauh.
- Kegigihan berasaskan pendaftaran dan eksploitasi RDP untuk pergerakan.
Kesimpulan: Profil Ancaman Kumpulan Interlock yang Berkembang
Kemunculan varian PHP Interlock RAT menunjukkan fleksibiliti kumpulan yang semakin meningkat dan niat untuk terus mendahului tindakan balas pertahanan. Dengan memanfaatkan kedua-dua skrip web dan ciri sistem asli, penyerang Interlock mengaburkan garis antara penghantaran perisian hasad tradisional dan penyalahgunaan kreatif fungsi sistem harian. Pasukan keselamatan harus terus berwaspada dan melaksanakan pertahanan berlapis untuk mengesan dan menyekat ancaman yang berkembang sedemikian.
