Interlock RAT

इन्टरलक र्‍यान्समवेयर अपरेशन पछाडि साइबर अपराधीहरूले आफ्नो कस्टम रिमोट एक्सेस ट्रोजन (RAT) को नयाँ विकसित PHP संस्करण, इन्टरलक RAT, जसलाई नोडस्नेक पनि भनिन्छ, मार्फत आफ्नो प्रयासलाई बढाइरहेका छन्। यो अपग्रेड गरिएको खतरा पहिले ज्ञात क्लिकफिक्स प्रविधिको एक शाखा, फाइलफिक्स भनिने विकसित डेलिभरी संयन्त्र प्रयोग गरेर व्यापक अभियानमा अवलोकन गरिएको छ। यो विकासले समूहको आक्रमण रणनीतिमा महत्त्वपूर्ण परिवर्तनलाई चिन्ह लगाउँछ, तिनीहरूको पहुँच विस्तार गर्दै र बढ्दो प्राविधिक परिष्कार प्रदर्शन गर्दछ।

स्टिल्थी प्रविष्टि: स्क्रिप्ट इन्जेक्सन र ट्राफिक रिडिरेक्शन

मे २०२५ देखि सक्रिय यो अभियान, HTML कोडमा गाडिएको देखिने सौम्य एकल-लाइन जाभास्क्रिप्ट स्निपेटको साथ इन्जेक्ट गरिएको सम्झौता गरिएका वेबसाइटहरूबाट सुरु हुन्छ। यो स्क्रिप्टले ट्राफिक वितरण प्रणाली (TDS) को रूपमा काम गर्छ, लक्षित आगन्तुकहरूलाई नक्कली CAPTCHA प्रमाणिकरण पृष्ठहरूमा रिडिरेक्ट गर्न IP-आधारित फिल्टरिङ प्रयोग गर्दछ। यी धोखाधडी पृष्ठहरूले प्रयोगकर्ताहरूलाई दुर्भावनापूर्ण PowerShell स्क्रिप्टहरू कार्यान्वयन गर्न छल गर्न ClickFix-आधारित प्रलोभनहरूमा भर पर्छन्। परिणामस्वरूप इन्टरलक RAT को स्थापना हुन्छ, जसले आक्रमणकारीहरूलाई पीडितको प्रणालीमा पाइला राख्न अनुमति दिन्छ।

फाइलफिक्स: एक हतियारयुक्त डेलिभरी नवप्रवर्तन

जुन २०२५ मा अवलोकन गरिएका पछिल्ला अभियानहरूले मुख्य संक्रमण भेक्टरको रूपमा क्लिकफिक्सको अझ उन्नत संस्करण, फाइलफिक्सको प्रयोग प्रदर्शन गर्दछ। फाइलफिक्सले प्रयोगकर्ताहरूलाई दुर्भावनापूर्ण आदेशहरू चलाउन सामाजिक रूपमा इन्जिनियर गर्न विन्डोज फाइल एक्सप्लोररको ठेगाना पट्टीको शोषण गर्दछ। मूल रूपमा जुन २०२५ मा अवधारणाको प्रमाणको रूपमा प्रदर्शन गरिएको, फाइलफिक्स अब इन्टरलक RAT को PHP संस्करण वितरण गर्न सञ्चालन गरिएको छ, र केही अवस्थामा, यो तैनाती अधिक परम्परागत Node.js-आधारित संस्करणको स्थापनाको अग्रदूतको रूपमा कार्य गर्दछ।

बहु-चरण पेलोड र चुपचाप क्षमताहरू

एक पटक तैनाथ गरिसकेपछि, इन्टरलक RAT ले JSON ढाँचामा होस्ट रिकोनिसेन्स र सिस्टम जानकारी एक्सफिल्टरेशन सुरु गर्छ। यसले विशेषाधिकार स्तरहरू (USER, ADMIN, वा SYSTEM) को जाँच गर्छ र रिमोट कमाण्ड-एन्ड-कन्ट्रोल (C2) सर्भरसँग सम्पर्क स्थापित गर्छ। अतिरिक्त पेलोडहरू, या त EXE वा DLL फाइलहरू, कार्यान्वयनको लागि प्राप्त गरिन्छ।

• दृढता संयन्त्रहरूमा समावेश छन्:
• स्टार्टअप कार्यान्वयन कायम राख्न विन्डोज रजिस्ट्री परिमार्जन गर्दै।
• रिमोट डेस्कटप प्रोटोकल (RDP) पहुँच मार्फत पार्श्व आन्दोलन सक्षम पार्दै।

यसबाहेक, एउटा उल्लेखनीय चोरी प्रविधिमा C2 सर्भरको वास्तविक स्थान लुकाउने Cloudflare Tunnel सबडोमेनहरूको प्रयोग समावेश छ। सुरुङहरू अवरुद्ध भएमा जडान कायम राख्न हार्ड-कोड गरिएका IP ठेगानाहरूले ब्याकअपको रूपमा काम गर्छन्।

खतरा ट्र्याक गर्ने: विगतका लक्ष्यहरू र वर्तमान उद्देश्यहरू

२०२५ को सुरुमा, इन्टरलक RAT ले Node.js भेरियन्टको प्रयोग गर्दै बेलायतमा स्थानीय सरकार र शैक्षिक संस्थाहरूमा आक्रमण गरेको थियो। यद्यपि, हालैको PHP, एक सामान्य वेब विकास भाषामा भएको परिवर्तनले उद्योगहरूको फराकिलो दायरालाई लक्षित गर्दै थप अवसरवादी दृष्टिकोणको सुझाव दिन्छ। PHP मा संक्रमणले सम्भावित रूपमा कमजोर वेब-आधारित पूर्वाधारहरूको शोषण गर्दै संक्रमण भेक्टरहरूलाई फराकिलो बनाउने रणनीतिक निर्णयलाई संकेत गर्दछ।

अभियानका प्रमुख सूचकहरू

पीडितहरू र साइबर सुरक्षा अपरेटरहरू इन्टरलकको पछिल्लो कार्यहरूको निम्न विशेषताहरूप्रति सतर्क हुनुपर्छ:

प्रारम्भिक आक्रमण भेक्टर:

• वैध तर सम्झौता गरिएका वेबसाइटहरूमा एकल-लाइन जाभास्क्रिप्ट इंजेक्सन।
• IP फिल्टरिङ प्रयोग गरेर नक्कली CAPTCHA पृष्ठहरूमा पुनर्निर्देशन।

संक्रमण पछि मालवेयर व्यवहार:

• होस्ट रिकोनिसेन्स र JSON-फर्म्याट गरिएको प्रणाली जानकारी एक्सफिल्ट्रेसन।
• विशेषाधिकार जाँच र रिमोट पेलोड कार्यान्वयन।
• रजिस्ट्रीमा आधारित दृढता र आन्दोलनको लागि RDP शोषण।

निष्कर्ष: इन्टरलक समूहको बढ्दो खतरा प्रोफाइल

इन्टरलक RAT को PHP संस्करणको उदयले समूहको बढ्दो बहुमुखी प्रतिरक्षा र रक्षात्मक प्रतिरोधात्मक उपायहरू भन्दा अगाडि रहनको इरादा प्रदर्शन गर्दछ। वेब स्क्रिप्टिङ र नेटिभ प्रणाली सुविधाहरू दुवैको लाभ उठाएर, इन्टरलक आक्रमणकारीहरूले परम्परागत मालवेयर डेलिभरी र दैनिक प्रणाली कार्यक्षमताहरूको रचनात्मक दुरुपयोग बीचको रेखाहरू धमिलो पारिरहेका छन्। सुरक्षा टोलीहरू सतर्क रहनुपर्छ र यस्ता विकसित खतराहरू पत्ता लगाउन र रोक्न स्तरित प्रतिरक्षाहरू लागू गर्नुपर्छ।