Interlock RAT
Cyberprzestępcy stojący za atakiem ransomware Interlock intensyfikują swoje działania, wykorzystując nowo opracowaną wersję PHP swojego trojana zdalnego dostępu (RAT) Interlock RAT, znanego również jako NodeSnake. To ulepszone zagrożenie zostało zaobserwowane w szeroko zakrojonej kampanii wykorzystującej rozwinięty mechanizm dostarczania o nazwie FileFix, będący odgałęzieniem wcześniej znanej techniki ClickFix. Rozwój ten oznacza znaczącą zmianę w strategii ataków grupy, zwiększając jej zasięg i demonstrując coraz większe zaawansowanie techniczne.
Spis treści
Ukryte wejście: wstrzykiwanie skryptów i przekierowywanie ruchu
Kampania, aktywna od maja 2025 roku, rozpoczyna się od wstrzyknięcia do zainfekowanych stron internetowych pozornie nieszkodliwego, jednowierszowego fragmentu kodu JavaScript ukrytego w kodzie HTML. Skrypt ten działa jak system dystrybucji ruchu (TDS), wykorzystując filtrowanie oparte na adresach IP do przekierowywania docelowych użytkowników na fałszywe strony weryfikacji CAPTCHA. Te fałszywe strony wykorzystują przynęty oparte na ClickFix, aby nakłonić użytkowników do wykonania złośliwych skryptów programu PowerShell. Rezultatem jest instalacja oprogramowania Interlock RAT, które zapewnia atakującym dostęp do systemu ofiary.
FileFix: Innowacja w dostarczaniu broni
Najnowsze kampanie zaobserwowane w czerwcu 2025 roku pokazują, że FileFix, bardziej zaawansowana wersja ClickFix, jest głównym wektorem infekcji. FileFix wykorzystuje pasek adresu Eksploratora plików systemu Windows, aby zmusić użytkowników do uruchamiania złośliwych poleceń za pomocą socjotechniki. Pierwotnie zademonstrowany jako proof-of-concept w czerwcu 2025 roku, FileFix został obecnie wdrożony do dystrybucji wariantu PHP Interlock RAT, a w niektórych przypadkach to wdrożenie stanowi prekursor instalacji bardziej tradycyjnego wariantu opartego na Node.js.
Ładunki wieloetapowe i możliwości stealth
Po wdrożeniu, Interlock RAT inicjuje rozpoznanie hosta i eksfiltrację informacji systemowych w formacie JSON. Sprawdza poziomy uprawnień (USER, ADMIN lub SYSTEM) i nawiązuje kontakt ze zdalnym serwerem poleceń i kontroli (C2). Pobierane są dodatkowe ładunki, pliki EXE lub DLL, w celu wykonania.
- Mechanizmy trwałości obejmują:
- Modyfikacja rejestru systemu Windows w celu utrzymania wykonywania funkcji startowych.
- Umożliwienie ruchu poziomego poprzez dostęp za pomocą protokołu RDP (Remote Desktop Protocol).
Co więcej, jedną z godnych uwagi technik obejścia zabezpieczeń jest wykorzystanie subdomen Cloudflare Tunnel, maskujących rzeczywistą lokalizację serwera C2. Zakodowane na stałe adresy IP służą jako kopie zapasowe, aby utrzymać łączność w przypadku przerwania działania tuneli.
Śledzenie zagrożenia: dawne cele i obecne motywy
Na początku 2025 roku, Interlock RAT był zaangażowany w ataki na samorządy i instytucje edukacyjne w Wielkiej Brytanii, wykorzystując wariant Node.js. Jednak niedawne przejście na PHP, popularny język programowania stron internetowych, sugeruje bardziej oportunistyczne podejście ukierunkowane na szerszy zakres branż. Przejście na PHP wskazuje na taktyczną decyzję o rozszerzeniu wektorów infekcji, potencjalnie wykorzystując podatną infrastrukturę internetową.
Kluczowe wskaźniki kampanii
Ofiary i osoby zajmujące się bezpieczeństwem cybernetycznym powinny zwrócić uwagę na następujące charakterystyczne cechy najnowszych operacji Interlock:
Początkowy wektor ataku:
- Wstrzykiwanie pojedynczego wiersza kodu JavaScript na legalnych, ale zainfekowanych stronach internetowych.
- Przekierowanie na fałszywe strony CAPTCHA wykorzystujące filtrowanie IP.
Zachowanie złośliwego oprogramowania po infekcji:
- Rozpoznanie hosta i eksfiltracja informacji o systemie w formacie JSON.
- Sprawdzanie uprawnień i zdalne wykonywanie ładunków.
- Trwałość oparta na rejestrze i wykorzystanie protokołu RDP do celów ruchu.
Wnioski: Rosnący profil zagrożenia Interlock Group
Pojawienie się wariantu PHP Interlock RAT świadczy o rosnącej wszechstronności grupy i jej determinacji, by wyprzedzać środki obronne. Wykorzystując zarówno web scripting, jak i natywne funkcje systemowe, atakujący Interlock zacierają granice między tradycyjnym dostarczaniem złośliwego oprogramowania a kreatywnym nadużywaniem codziennych funkcji systemu. Zespoły ds. bezpieczeństwa powinny zachować czujność i wdrażać wielowarstwowe zabezpieczenia w celu wykrywania i blokowania takich ewoluujących zagrożeń.
