Cotație de reducere pentru licențe multiple
Baza de date pentru amenințări Instrumente de administrare la distanță Interlock RAT

Interlock RAT

Până în Mezo în Instrumente de administrare la distanță, Amenințare persistentă avansată (APT), Ransomware
Tradu in:

Infractorii cibernetici din spatele operațiunii ransomware Interlock își intensifică eforturile cu o variantă PHP recent dezvoltată a trojanului lor personalizat de acces la distanță (RAT), Interlock RAT, cunoscut și sub numele de NodeSnake. Această amenințare îmbunătățită a fost observată într-o campanie extinsă care utilizează un mecanism de livrare evoluat, numit FileFix, o ramură a tehnicii ClickFix cunoscute anterior. Dezvoltarea marchează o schimbare semnificativă în strategia de atac a grupului, extinzându-le raza de acțiune și demonstrând o sofisticare tehnică crescândă.

Intrare ascunsă: Injecție de script și redirecționare a traficului

Campania, activă din mai 2025, începe cu site-uri web compromise, cărora li se injectează un fragment JavaScript aparent inofensiv, dintr-o singură linie, îngropat în codul HTML. Acest script funcționează ca un sistem de distribuție a traficului (TDS), utilizând filtrare bazată pe IP pentru a redirecționa vizitatorii vizați către pagini false de verificare CAPTCHA. Aceste pagini frauduloase se bazează pe momeli bazate pe ClickFix pentru a păcăli utilizatorii să execute scripturi PowerShell rău intenționate. Rezultatul este instalarea Interlock RAT, oferind atacatorilor un punct de sprijin în sistemul victimei.

FileFix: O inovație în livrarea de produse transformată în armă

Cele mai recente campanii observate în iunie 2025 prezintă utilizarea FileFix, o versiune mai avansată a ClickFix, ca vector principal de infecție. FileFix exploatează bara de adrese a Windows File Explorer pentru a induce utilizatorii în mod social și a-i determina să execute comenzi rău intenționate. Demonstrat inițial ca o dovadă de concept în iunie 2025, FileFix a fost acum operaționalizat pentru a distribui varianta PHP a Interlock RAT, iar în unele cazuri, această implementare acționează ca un precursor al instalării variantei mai tradiționale bazate pe Node.js.

Sarcini utile multi-etapă și capacități Stealth

Odată implementat, Interlock RAT inițiază recunoașterea gazdei și exfiltrarea informațiilor de sistem în format JSON. Verifică nivelurile de privilegii (USER, ADMIN sau SYSTEM) și stabilește contactul cu un server de comandă și control (C2) la distanță. Sunt preluate pentru execuție sarcini suplimentare, fie fișiere EXE, fie DLL.

  • Mecanismele de persistență includ:
  • Modificarea Registrului Windows pentru a menține execuția la pornire.
  • Activarea mișcării laterale prin acces Remote Desktop Protocol (RDP).

Mai mult, o tehnică notabilă de evitare a atacurilor implică utilizarea subdomeniilor Cloudflare Tunnel, mascarea locației reale a serverului C2. Adresele IP codificate fix servesc drept copii de rezervă pentru a menține conectivitatea dacă tunelurile sunt întrerupte.

Urmărirea amenințării: ținte trecute și motive prezente

La începutul anului 2025, Interlock RAT a fost implicat în atacuri asupra administrației locale și a instituțiilor de învățământ din Marea Britanie, utilizând varianta Node.js. Cu toate acestea, trecerea recentă la PHP, un limbaj comun de dezvoltare web, sugerează o abordare mai oportunistă care vizează o gamă mai largă de industrii. Tranziția la PHP indică o decizie tactică de a lărgi vectorii de infecție, exploatând potențial infrastructurile web vulnerabile.

Indicatori cheie ai campaniei

Victimele și agenții de securitate cibernetică ar trebui să fie atenți la următoarele caracteristici ale ultimelor operațiuni ale Interlock:

Vectorul de atac inițial:

  • Injecții JavaScript pe o singură linie pe site-uri web legitime, dar compromise.
  • Redirecționare către pagini CAPTCHA false folosind filtrarea IP-urilor.

Comportamentul programelor malware după infectare:

  • Recunoașterea gazdei și exfiltrarea informațiilor de sistem în format JSON.
  • Verificări ale privilegiilor și execuție la distanță a sarcinii utile.
  • Persistență bazată pe registru și exploatare RDP pentru mișcare.

Concluzie: Profilul de amenințare în creștere al Interlock Group

Apariția variantei PHP a Interlock RAT demonstrează versatilitatea tot mai mare a grupului și intenția sa de a fi cu un pas înaintea contramăsurilor defensive. Prin valorificarea atât a scripturilor web, cât și a funcțiilor native ale sistemului, atacatorii Interlock estompează granițele dintre distribuția tradițională de programe malware și abuzul creativ al funcționalităților zilnice ale sistemului. Echipele de securitate ar trebui să rămână vigilente și să implementeze apărări stratificate pentru a detecta și bloca astfel de amenințări în continuă evoluție.

Trending

Cele mai văzute

Se încarcă...