Kortingsaanbieding voor meerdere licenties
Bedreigingsdatabase Hulpmiddelen voor extern beheer Interlock RAT

Interlock RAT

Tegen Mezo in Hulpmiddelen voor extern beheer, Geavanceerde aanhoudende dreiging (APT), Ransomware
Vertalen naar:

Cybercriminelen achter de Interlock-ransomwareoperatie intensiveren hun inspanningen met een nieuw ontwikkelde PHP-variant van hun eigen remote access trojan (RAT), Interlock RAT, ook bekend als NodeSnake. Deze verbeterde dreiging is waargenomen in een wijdverbreide campagne met behulp van een geëvolueerd aflevermechanisme genaamd FileFix, een uitloper van de eerder bekende ClickFix-techniek. De ontwikkeling markeert een significante verandering in de aanvalsstrategie van de groep, vergroot hun bereik en toont toenemende technische verfijning.

Stealthy Entry: scriptinjectie en omleiding van verkeer

De campagne, die sinds mei 2025 actief is, begint met gecompromitteerde websites die zijn geïnjecteerd met een ogenschijnlijk onschuldig JavaScript-fragment van één regel, verborgen in de HTML-code. Dit script functioneert als een verkeersdistributiesysteem (TDS) en maakt gebruik van IP-gebaseerde filtering om gerichte bezoekers om te leiden naar neppe CAPTCHA-verificatiepagina's. Deze frauduleuze pagina's maken gebruik van ClickFix-gebaseerde lokmiddelen om gebruikers te verleiden schadelijke PowerShell-scripts uit te voeren. Het resultaat is de installatie van Interlock RAT, waarmee aanvallers toegang krijgen tot het systeem van het slachtoffer.

FileFix: een bewapende bezorginnovatie

De meest recente campagnes die in juni 2025 werden waargenomen, tonen het gebruik van FileFix, een geavanceerdere versie van ClickFix, als belangrijkste infectievector. FileFix misbruikt de adresbalk van Windows Verkenner om gebruikers via social engineering kwaadaardige opdrachten te laten uitvoeren. FileFix, dat oorspronkelijk in juni 2025 werd gedemonstreerd als proof-of-concept, is nu operationeel om de PHP-variant van Interlock RAT te distribueren. In sommige gevallen fungeert deze implementatie als voorloper van de installatie van de meer traditionele Node.js-variant.

Meertrapsladingen en stealth-mogelijkheden

Na implementatie initieert Interlock RAT hostverkenning en exfiltratie van systeeminformatie in JSON-formaat. Het controleert op privilegeniveaus (USER, ADMIN of SYSTEM) en maakt contact met een externe command-and-control (C2)-server. Aanvullende payloads, EXE- of DLL-bestanden, worden opgehaald voor uitvoering.

  • Persistentiemechanismen omvatten:
  • Het Windows-register aanpassen om de opstartuitvoering te behouden.
  • Mogelijk maken van laterale verplaatsing via RDP-toegang (Remote Desktop Protocol).

Een opvallende omzeilingstechniek is het gebruik van Cloudflare Tunnel-subdomeinen, die de werkelijke locatie van de C2-server maskeren. Hardgecodeerde IP-adressen dienen als back-up om de connectiviteit te behouden als de tunnels worden verstoord.

Het volgen van de dreiging: vroegere doelen en huidige motieven

Eerder in 2025 was Interlock RAT betrokken bij aanvallen op lokale overheden en onderwijsinstellingen in het Verenigd Koninkrijk, waarbij gebruik werd gemaakt van de Node.js-variant. De recente overstap naar PHP, een veelgebruikte webontwikkeltaal, suggereert echter een meer opportunistische aanpak die zich richt op een breder scala aan sectoren. De overstap naar PHP wijst op een tactische beslissing om infectievectoren te verbreden en mogelijk kwetsbare webgebaseerde infrastructuren te exploiteren.

Belangrijkste indicatoren van de campagne

Slachtoffers en cybersecuritymedewerkers moeten alert zijn op de volgende kenmerken van de nieuwste activiteiten van Interlock:

Initiële aanvalsvector:

  • JavaScript-injecties van één regel op legitieme maar gecompromitteerde websites.
  • Omleiding naar nep-CAPTCHA-pagina's met behulp van IP-filtering.

Malware-gedrag na infectie:

  • Verkenning van de gastheer en exfiltratie van systeeminfo in JSON-formaat.
  • Controle van bevoegdheden en uitvoering van payloads op afstand.
  • Registergebaseerde persistentie en RDP-exploitatie voor verplaatsing.

Conclusie: het groeiende dreigingsprofiel van Interlock Group

De opkomst van de PHP-variant van Interlock RAT toont de groeiende veelzijdigheid en de intentie van de groep om defensieve tegenmaatregelen voor te blijven. Door gebruik te maken van zowel webscripting als native systeemfuncties, vervagen Interlock-aanvallers de grens tussen traditionele malwaredistributie en creatief misbruik van alledaagse systeemfunctionaliteiten. Beveiligingsteams moeten waakzaam blijven en gelaagde verdedigingsmechanismen implementeren om dergelijke evoluerende bedreigingen te detecteren en te blokkeren.

Trending

Meest bekeken

Bezig met laden...