Interlock RAT

ਇੰਟਰਲਾਕ ਰੈਨਸਮਵੇਅਰ ਓਪਰੇਸ਼ਨ ਦੇ ਪਿੱਛੇ ਸਾਈਬਰ ਅਪਰਾਧੀ ਆਪਣੇ ਕਸਟਮ ਰਿਮੋਟ ਐਕਸੈਸ ਟ੍ਰੋਜਨ (RAT) ਦੇ ਇੱਕ ਨਵੇਂ ਵਿਕਸਤ PHP ਰੂਪ, ਇੰਟਰਲਾਕ RAT, ਜਿਸਨੂੰ ਨੋਡਸਨੇਕ ਵੀ ਕਿਹਾ ਜਾਂਦਾ ਹੈ, ਨਾਲ ਆਪਣੀਆਂ ਕੋਸ਼ਿਸ਼ਾਂ ਨੂੰ ਵਧਾ ਰਹੇ ਹਨ। ਇਹ ਅੱਪਗ੍ਰੇਡ ਕੀਤਾ ਗਿਆ ਖ਼ਤਰਾ ਫਾਈਲਫਿਕਸ ਨਾਮਕ ਇੱਕ ਵਿਕਸਤ ਡਿਲੀਵਰੀ ਵਿਧੀ ਦੀ ਵਰਤੋਂ ਕਰਦੇ ਹੋਏ ਇੱਕ ਵਿਆਪਕ ਮੁਹਿੰਮ ਵਿੱਚ ਦੇਖਿਆ ਗਿਆ ਹੈ, ਜੋ ਕਿ ਪਹਿਲਾਂ ਜਾਣੀ ਜਾਂਦੀ ਕਲਿਕਫਿਕਸ ਤਕਨੀਕ ਦੀ ਇੱਕ ਸ਼ਾਖਾ ਹੈ। ਇਹ ਵਿਕਾਸ ਸਮੂਹ ਦੀ ਹਮਲੇ ਦੀ ਰਣਨੀਤੀ ਵਿੱਚ ਇੱਕ ਮਹੱਤਵਪੂਰਨ ਤਬਦੀਲੀ ਨੂੰ ਦਰਸਾਉਂਦਾ ਹੈ, ਉਹਨਾਂ ਦੀ ਪਹੁੰਚ ਨੂੰ ਵਧਾਉਂਦਾ ਹੈ ਅਤੇ ਵਧਦੀ ਤਕਨੀਕੀ ਸੂਝ-ਬੂਝ ਦਾ ਪ੍ਰਦਰਸ਼ਨ ਕਰਦਾ ਹੈ।

ਸਟੀਲਥੀ ਐਂਟਰੀ: ਸਕ੍ਰਿਪਟ ਇੰਜੈਕਸ਼ਨ ਅਤੇ ਟ੍ਰੈਫਿਕ ਰੀਡਾਇਰੈਕਸ਼ਨ

ਇਹ ਮੁਹਿੰਮ, ਜੋ ਕਿ ਮਈ 2025 ਤੋਂ ਸਰਗਰਮ ਹੈ, HTML ਕੋਡ ਵਿੱਚ ਦੱਬੇ ਇੱਕ ਪ੍ਰਤੀਤ ਹੁੰਦੇ ਇੱਕ ਸੁਭਾਵਕ ਸਿੰਗਲ-ਲਾਈਨ JavaScript ਸਨਿੱਪਟ ਨਾਲ ਪ੍ਰਭਾਵਿਤ ਵੈੱਬਸਾਈਟਾਂ ਨਾਲ ਸ਼ੁਰੂ ਹੁੰਦੀ ਹੈ। ਇਹ ਸਕ੍ਰਿਪਟ ਇੱਕ ਟ੍ਰੈਫਿਕ ਵੰਡ ਪ੍ਰਣਾਲੀ (TDS) ਦੇ ਤੌਰ 'ਤੇ ਕੰਮ ਕਰਦੀ ਹੈ, ਜੋ ਨਿਸ਼ਾਨਾ ਬਣਾਏ ਗਏ ਵਿਜ਼ਟਰਾਂ ਨੂੰ ਨਕਲੀ CAPTCHA ਤਸਦੀਕ ਪੰਨਿਆਂ 'ਤੇ ਰੀਡਾਇਰੈਕਟ ਕਰਨ ਲਈ IP-ਅਧਾਰਿਤ ਫਿਲਟਰਿੰਗ ਦੀ ਵਰਤੋਂ ਕਰਦੀ ਹੈ। ਇਹ ਧੋਖਾਧੜੀ ਵਾਲੇ ਪੰਨੇ ਉਪਭੋਗਤਾਵਾਂ ਨੂੰ ਖਤਰਨਾਕ PowerShell ਸਕ੍ਰਿਪਟਾਂ ਨੂੰ ਚਲਾਉਣ ਲਈ ਧੋਖਾ ਦੇਣ ਲਈ ClickFix-ਅਧਾਰਿਤ ਲਾਲਚਾਂ 'ਤੇ ਨਿਰਭਰ ਕਰਦੇ ਹਨ। ਨਤੀਜਾ ਇੰਟਰਲਾਕ RAT ਦੀ ਸਥਾਪਨਾ ਹੈ, ਜੋ ਹਮਲਾਵਰਾਂ ਨੂੰ ਪੀੜਤ ਦੇ ਸਿਸਟਮ ਵਿੱਚ ਪੈਰ ਜਮਾਉਣ ਦੀ ਆਗਿਆ ਦਿੰਦੀ ਹੈ।

ਫਾਈਲਫਿਕਸ: ਇੱਕ ਹਥਿਆਰਬੰਦ ਡਿਲੀਵਰੀ ਨਵੀਨਤਾ

ਜੂਨ 2025 ਵਿੱਚ ਵੇਖੀਆਂ ਗਈਆਂ ਨਵੀਨਤਮ ਮੁਹਿੰਮਾਂ ਫਾਈਲਫਿਕਸ ਦੀ ਵਰਤੋਂ ਨੂੰ ਦਰਸਾਉਂਦੀਆਂ ਹਨ, ਜੋ ਕਿ ਕਲਿੱਕਫਿਕਸ ਦਾ ਇੱਕ ਵਧੇਰੇ ਉੱਨਤ ਸੰਸਕਰਣ ਹੈ, ਕੋਰ ਇਨਫੈਕਸ਼ਨ ਵੈਕਟਰ ਵਜੋਂ। ਫਾਈਲਫਿਕਸ ਵਿੰਡੋਜ਼ ਫਾਈਲ ਐਕਸਪਲੋਰਰ ਦੇ ਐਡਰੈੱਸ ਬਾਰ ਦਾ ਸ਼ੋਸ਼ਣ ਉਪਭੋਗਤਾਵਾਂ ਨੂੰ ਖਤਰਨਾਕ ਕਮਾਂਡਾਂ ਚਲਾਉਣ ਲਈ ਸਮਾਜਿਕ ਤੌਰ 'ਤੇ ਇੰਜੀਨੀਅਰ ਕਰਨ ਲਈ ਕਰਦਾ ਹੈ। ਅਸਲ ਵਿੱਚ ਜੂਨ 2025 ਵਿੱਚ ਇੱਕ ਸਬੂਤ-ਸੰਕਲਪ ਦੇ ਤੌਰ 'ਤੇ ਪ੍ਰਦਰਸ਼ਿਤ ਕੀਤਾ ਗਿਆ ਸੀ, ਫਾਈਲਫਿਕਸ ਨੂੰ ਹੁਣ ਇੰਟਰਲਾਕ RAT ਦੇ PHP ਰੂਪ ਨੂੰ ਵੰਡਣ ਲਈ ਕਾਰਜਸ਼ੀਲ ਕੀਤਾ ਗਿਆ ਹੈ, ਅਤੇ ਕੁਝ ਮਾਮਲਿਆਂ ਵਿੱਚ, ਇਹ ਤੈਨਾਤੀ ਵਧੇਰੇ ਰਵਾਇਤੀ Node.js-ਅਧਾਰਿਤ ਰੂਪ ਦੀ ਸਥਾਪਨਾ ਲਈ ਇੱਕ ਪੂਰਵਗਾਮੀ ਵਜੋਂ ਕੰਮ ਕਰਦੀ ਹੈ।

ਮਲਟੀ-ਸਟੇਜ ਪੇਲੋਡ ਅਤੇ ਸਟੀਲਥ ਸਮਰੱਥਾਵਾਂ

ਇੱਕ ਵਾਰ ਤੈਨਾਤ ਹੋਣ ਤੋਂ ਬਾਅਦ, ਇੰਟਰਲਾਕ RAT JSON ਫਾਰਮੈਟ ਵਿੱਚ ਹੋਸਟ ਰੀਕਨਾਈਸੈਂਸ ਅਤੇ ਸਿਸਟਮ ਜਾਣਕਾਰੀ ਐਕਸਫਿਲਟਰੇਸ਼ਨ ਸ਼ੁਰੂ ਕਰਦਾ ਹੈ। ਇਹ ਵਿਸ਼ੇਸ਼ ਅਧਿਕਾਰ ਪੱਧਰਾਂ (USER, ADMIN, ਜਾਂ SYSTEM) ਦੀ ਜਾਂਚ ਕਰਦਾ ਹੈ ਅਤੇ ਇੱਕ ਰਿਮੋਟ ਕਮਾਂਡ-ਐਂਡ-ਕੰਟਰੋਲ (C2) ਸਰਵਰ ਨਾਲ ਸੰਪਰਕ ਸਥਾਪਤ ਕਰਦਾ ਹੈ। ਵਾਧੂ ਪੇਲੋਡ, ਜਾਂ ਤਾਂ EXE ਜਾਂ DLL ਫਾਈਲਾਂ, ਐਗਜ਼ੀਕਿਊਸ਼ਨ ਲਈ ਪ੍ਰਾਪਤ ਕੀਤੇ ਜਾਂਦੇ ਹਨ।

• ਸਥਿਰਤਾ ਵਿਧੀਆਂ ਵਿੱਚ ਸ਼ਾਮਲ ਹਨ:
• ਸਟਾਰਟਅੱਪ ਐਗਜ਼ੀਕਿਊਸ਼ਨ ਨੂੰ ਬਣਾਈ ਰੱਖਣ ਲਈ ਵਿੰਡੋਜ਼ ਰਜਿਸਟਰੀ ਨੂੰ ਸੋਧਣਾ।
• ਰਿਮੋਟ ਡੈਸਕਟੌਪ ਪ੍ਰੋਟੋਕੋਲ (RDP) ਪਹੁੰਚ ਰਾਹੀਂ ਪਾਸੇ ਦੀ ਗਤੀ ਨੂੰ ਸਮਰੱਥ ਬਣਾਉਣਾ।

ਇਸ ਤੋਂ ਇਲਾਵਾ, ਇੱਕ ਮਹੱਤਵਪੂਰਨ ਚੋਰੀ ਤਕਨੀਕ ਵਿੱਚ ਕਲਾਉਡਫਲੇਅਰ ਟਨਲ ਸਬਡੋਮੇਨਾਂ ਦੀ ਵਰਤੋਂ ਸ਼ਾਮਲ ਹੈ, ਜੋ C2 ਸਰਵਰ ਦੇ ਅਸਲ ਸਥਾਨ ਨੂੰ ਛੁਪਾਉਂਦੀ ਹੈ। ਜੇਕਰ ਸੁਰੰਗਾਂ ਵਿੱਚ ਵਿਘਨ ਪੈਂਦਾ ਹੈ ਤਾਂ ਹਾਰਡ-ਕੋਡ ਕੀਤੇ IP ਪਤੇ ਕਨੈਕਟੀਵਿਟੀ ਬਣਾਈ ਰੱਖਣ ਲਈ ਬੈਕਅੱਪ ਵਜੋਂ ਕੰਮ ਕਰਦੇ ਹਨ।

ਖ਼ਤਰੇ ਦਾ ਪਤਾ ਲਗਾਉਣਾ: ਪਿਛਲੇ ਨਿਸ਼ਾਨੇ ਅਤੇ ਵਰਤਮਾਨ ਮਨੋਰਥ

2025 ਦੇ ਸ਼ੁਰੂ ਵਿੱਚ, ਇੰਟਰਲਾਕ RAT, Node.js ਵੇਰੀਐਂਟ ਦੀ ਵਰਤੋਂ ਕਰਦੇ ਹੋਏ, ਯੂਕੇ ਵਿੱਚ ਸਥਾਨਕ ਸਰਕਾਰਾਂ ਅਤੇ ਵਿਦਿਅਕ ਸੰਸਥਾਵਾਂ 'ਤੇ ਹਮਲਿਆਂ ਵਿੱਚ ਸ਼ਾਮਲ ਸੀ। ਹਾਲਾਂਕਿ, PHP, ਇੱਕ ਆਮ ਵੈੱਬ ਵਿਕਾਸ ਭਾਸ਼ਾ ਵਿੱਚ ਹਾਲ ਹੀ ਵਿੱਚ ਤਬਦੀਲੀ, ਉਦਯੋਗਾਂ ਦੀ ਇੱਕ ਵਿਸ਼ਾਲ ਸ਼੍ਰੇਣੀ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਣ ਲਈ ਇੱਕ ਵਧੇਰੇ ਮੌਕਾਪ੍ਰਸਤ ਪਹੁੰਚ ਦਾ ਸੁਝਾਅ ਦਿੰਦੀ ਹੈ। PHP ਵਿੱਚ ਤਬਦੀਲੀ ਸੰਭਾਵਤ ਤੌਰ 'ਤੇ ਕਮਜ਼ੋਰ ਵੈੱਬ-ਅਧਾਰਿਤ ਬੁਨਿਆਦੀ ਢਾਂਚੇ ਦਾ ਸ਼ੋਸ਼ਣ ਕਰਦੇ ਹੋਏ, ਇਨਫੈਕਸ਼ਨ ਵੈਕਟਰਾਂ ਨੂੰ ਵਧਾਉਣ ਦੇ ਇੱਕ ਰਣਨੀਤਕ ਫੈਸਲੇ ਨੂੰ ਦਰਸਾਉਂਦੀ ਹੈ।

ਮੁਹਿੰਮ ਦੇ ਮੁੱਖ ਸੰਕੇਤਕ

ਪੀੜਤਾਂ ਅਤੇ ਸਾਈਬਰ ਸੁਰੱਖਿਆ ਕਾਰਜਕਰਤਾਵਾਂ ਨੂੰ ਇੰਟਰਲਾਕ ਦੇ ਨਵੀਨਤਮ ਕਾਰਜਾਂ ਦੇ ਹੇਠ ਲਿਖੇ ਲੱਛਣਾਂ ਪ੍ਰਤੀ ਸੁਚੇਤ ਰਹਿਣਾ ਚਾਹੀਦਾ ਹੈ:

ਸ਼ੁਰੂਆਤੀ ਹਮਲੇ ਦਾ ਵੈਕਟਰ:

• ਜਾਇਜ਼ ਪਰ ਸਮਝੌਤਾ ਕੀਤੀਆਂ ਵੈੱਬਸਾਈਟਾਂ 'ਤੇ ਸਿੰਗਲ-ਲਾਈਨ ਜਾਵਾ ਸਕ੍ਰਿਪਟ ਇੰਜੈਕਸ਼ਨ।
• IP ਫਿਲਟਰਿੰਗ ਦੀ ਵਰਤੋਂ ਕਰਕੇ ਨਕਲੀ ਕੈਪਚਾ ਪੰਨਿਆਂ 'ਤੇ ਰੀਡਾਇਰੈਕਸ਼ਨ।

ਲਾਗ ਤੋਂ ਬਾਅਦ ਮਾਲਵੇਅਰ ਵਿਵਹਾਰ:

• ਹੋਸਟ ਰੀਕੋਨੀਸੈਂਸ ਅਤੇ JSON-ਫਾਰਮੈਟਡ ਸਿਸਟਮ ਜਾਣਕਾਰੀ ਐਕਸਫਿਲਟਰੇਸ਼ਨ।
• ਵਿਸ਼ੇਸ਼ ਅਧਿਕਾਰ ਜਾਂਚ ਅਤੇ ਰਿਮੋਟ ਪੇਲੋਡ ਐਗਜ਼ੀਕਿਊਸ਼ਨ।
• ਰਜਿਸਟਰੀ-ਅਧਾਰਤ ਸਥਿਰਤਾ ਅਤੇ ਗਤੀ ਲਈ RDP ਸ਼ੋਸ਼ਣ।

ਸਿੱਟਾ: ਇੰਟਰਲਾਕ ਗਰੁੱਪ ਦਾ ਵਧਦਾ ਖ਼ਤਰਾ ਪ੍ਰੋਫਾਈਲ

ਇੰਟਰਲਾਕ RAT ਦੇ PHP ਰੂਪ ਦਾ ਉਭਾਰ ਸਮੂਹ ਦੀ ਵਧਦੀ ਬਹੁਪੱਖੀਤਾ ਅਤੇ ਰੱਖਿਆਤਮਕ ਜਵਾਬੀ ਉਪਾਵਾਂ ਤੋਂ ਅੱਗੇ ਰਹਿਣ ਦੇ ਇਰਾਦੇ ਨੂੰ ਦਰਸਾਉਂਦਾ ਹੈ। ਵੈੱਬ ਸਕ੍ਰਿਪਟਿੰਗ ਅਤੇ ਮੂਲ ਸਿਸਟਮ ਵਿਸ਼ੇਸ਼ਤਾਵਾਂ ਦੋਵਾਂ ਦਾ ਲਾਭ ਉਠਾ ਕੇ, ਇੰਟਰਲਾਕ ਹਮਲਾਵਰ ਰਵਾਇਤੀ ਮਾਲਵੇਅਰ ਡਿਲੀਵਰੀ ਅਤੇ ਰੋਜ਼ਾਨਾ ਸਿਸਟਮ ਕਾਰਜਸ਼ੀਲਤਾਵਾਂ ਦੀ ਰਚਨਾਤਮਕ ਦੁਰਵਰਤੋਂ ਵਿਚਕਾਰ ਰੇਖਾਵਾਂ ਨੂੰ ਧੁੰਦਲਾ ਕਰ ਰਹੇ ਹਨ। ਸੁਰੱਖਿਆ ਟੀਮਾਂ ਨੂੰ ਚੌਕਸ ਰਹਿਣਾ ਚਾਹੀਦਾ ਹੈ ਅਤੇ ਅਜਿਹੇ ਵਿਕਸਤ ਹੋ ਰਹੇ ਖਤਰਿਆਂ ਦਾ ਪਤਾ ਲਗਾਉਣ ਅਤੇ ਰੋਕਣ ਲਈ ਪੱਧਰੀ ਰੱਖਿਆ ਨੂੰ ਲਾਗੂ ਕਰਨਾ ਚਾਹੀਦਾ ਹੈ।