Interlock RAT
Nettkriminelle bak ransomware-operasjonen Interlock trapper opp innsatsen med en nyutviklet PHP-variant av sin tilpassede fjerntilgangstrojaner (RAT), Interlock RAT, også kjent som NodeSnake. Denne oppgraderte trusselen har blitt observert i en omfattende kampanje ved bruk av en videreutviklet leveringsmekanisme kalt FileFix, en avlegger av den tidligere kjente ClickFix-teknikken. Utviklingen markerer et betydelig skifte i gruppens angrepsstrategi, utvider rekkevidden deres og demonstrerer økende teknisk raffinement.
Innholdsfortegnelse
Snikende oppføring: Skriptinjeksjon og trafikkomdirigering
Kampanjen, som har vært aktiv siden mai 2025, starter med kompromitterte nettsteder som får injisert et tilsynelatende godartet JavaScript-snutt på én linje begravd i HTML-koden. Dette skriptet fungerer som et trafikkdistribusjonssystem (TDS), og bruker IP-basert filtrering for å omdirigere målrettede besøkende til falske CAPTCHA-verifiseringssider. Disse falske sidene er avhengige av ClickFix-baserte lokkemidler for å lure brukere til å kjøre ondsinnede PowerShell-skript. Resultatet er installasjon av Interlock RAT, som gir angripere fotfeste i offerets system.
FileFix: En våpenbasert leveringsinnovasjon
De siste kampanjene som ble observert i juni 2025 viser bruken av FileFix, en mer avansert versjon av ClickFix, som den viktigste infeksjonsvektoren. FileFix utnytter adressefeltet i Windows File Explorer til å sosialt konstruere brukere til å kjøre ondsinnede kommandoer. FileFix, som opprinnelig ble demonstrert som et proof-of-concept i juni 2025, har nå blitt operasjonalisert for å distribuere PHP-varianten av Interlock RAT, og i noen tilfeller fungerer denne distribusjonen som en forløper for installasjonen av den mer tradisjonelle Node.js-baserte varianten.
Flertrinns nyttelast og stealth-muligheter
Når den er distribuert, starter Interlock RAT vertsrekognosering og systeminformasjonsekfiltrering i JSON-format. Den sjekker rettighetsnivåer (BRUKER, ADMIN eller SYSTEM) og oppretter kontakt med en ekstern kommando- og kontrollserver (C2). Ytterligere nyttelaster, enten EXE- eller DLL-filer, hentes for utførelse.
- Persistensmekanismer inkluderer:
- Endre Windows-registeret for å opprettholde oppstartskjøringen.
- Aktiverer lateral bevegelse gjennom RDP-tilgang (Remote Desktop Protocol).
Dessuten involverer en bemerkelsesverdig unnvikelsesteknikk bruk av Cloudflare Tunnel-underdomener, som maskerer C2-serverens faktiske plassering. Hardkodede IP-adresser fungerer som sikkerhetskopier for å opprettholde tilkoblingen hvis tunnelene blir forstyrret.
Sporing av trusselen: Tidligere mål og nåværende motiver
Tidligere i 2025 var Interlock RAT involvert i angrep på lokale myndigheter og utdanningsinstitusjoner i Storbritannia, ved å utnytte Node.js-varianten. Det nylige skiftet til PHP, et vanlig språk for webutvikling, antyder imidlertid en mer opportunistisk tilnærming rettet mot et bredere spekter av bransjer. Overgangen til PHP indikerer en taktisk beslutning om å utvide infeksjonsvektorer, potensielt utnytte sårbare nettbaserte infrastrukturer.
Viktige indikatorer for kampanjen
Ofre og nettsikkerhetsagenter bør være oppmerksomme på følgende kjennetegn ved Interlocks siste operasjoner:
Innledende angrepsvektor:
- Enkeltlinjede JavaScript-injeksjoner på legitime, men kompromitterte nettsteder.
- Omdirigering til falske CAPTCHA-sider ved hjelp av IP-filtrering.
Skadelig programvares oppførsel etter infeksjon:
- Vertsrekognosering og JSON-formatert systeminformasjonsekfiltrering.
- Rettighetskontroller og ekstern utførelse av nyttelast.
- Registerbasert persistens og RDP-utnyttelse for bevegelse.
Konklusjon: Interlock Groups voksende trusselprofil
Fremveksten av PHP-varianten av Interlock RAT demonstrerer gruppens økende allsidighet og intensjon om å ligge i forkant av defensive mottiltak. Ved å utnytte både webskripting og innebygde systemfunksjoner, visker Interlock-angripere ut linjene mellom tradisjonell levering av skadelig programvare og kreativt misbruk av hverdagens systemfunksjoner. Sikkerhetsteam bør forbli årvåkne og implementere lagdelte forsvar for å oppdage og blokkere slike utviklende trusler.
