Скидка на мультилицензию
База данных угроз Инструменты удаленного администрирования Interlock RAT

Interlock RAT

К Mezo году в Инструменты удаленного администрирования, Расширенная постоянная угроза (APT), Программы-вымогатели году
Перевести на:

Киберпреступники, стоящие за программой-вымогателем Interlock, наращивают свои усилия, разрабатывая новую PHP-версию своего трояна для удалённого доступа (RAT) Interlock RAT, также известного как NodeSnake. Эта обновлённая угроза была замечена в ходе широкомасштабной кампании с использованием усовершенствованного механизма доставки FileFix, являющегося ответвлением ранее известной техники ClickFix. Эта разработка знаменует собой существенное изменение стратегии атак группировки, расширяя её охват и демонстрируя возросшую техническую сложность.

Скрытый вход: внедрение скрипта и перенаправление трафика

Кампания, действующая с мая 2025 года, начинается со взломанных веб-сайтов, на первый взгляд безобидных, однострочных фрагментов JavaScript, скрытых в HTML-коде. Этот скрипт функционирует как система распределения трафика (TDS), используя фильтрацию по IP-адресам для перенаправления целевых посетителей на поддельные страницы проверки CAPTCHA. Эти мошеннические страницы используют приманки на основе ClickFix, чтобы обманом заставить пользователей выполнить вредоносные скрипты PowerShell. Результатом становится установка Interlock RAT, что позволяет злоумышленникам закрепиться в системе жертвы.

FileFix: инновационное оружие доставки

Последние кампании, отмеченные в июне 2025 года, демонстрируют использование FileFix, более продвинутой версии ClickFix, в качестве основного вектора заражения. FileFix использует адресную строку Проводника Windows, чтобы с помощью социальной инженерии заставить пользователей выполнить вредоносные команды. FileFix, первоначально продемонстрированный в качестве прототипа в июне 2025 года, теперь используется для распространения PHP-версии Interlock RAT, и в некоторых случаях это развёртывание служит предвестником установки более традиционного варианта на базе Node.js.

Многоступенчатые полезные нагрузки и возможности скрытности

После развертывания Interlock RAT инициирует разведку хоста и кражу системной информации в формате JSON. Он проверяет уровни привилегий (USER, ADMIN или SYSTEM) и устанавливает связь с удалённым сервером управления (C2). Для выполнения извлекаются дополнительные полезные данные в виде EXE- или DLL-файлов.

  • Механизмы персистенции включают в себя:
  • Изменение реестра Windows для обеспечения возможности запуска.
  • Обеспечение возможности горизонтального перемещения посредством доступа по протоколу удаленного рабочего стола (RDP).

Более того, один из известных методов обхода блокировок — использование поддоменов туннелей Cloudflare, маскирующих фактическое местоположение сервера управления. Жёстко заданные IP-адреса служат резервными для поддержания соединения в случае сбоя туннелей.

Отслеживание угрозы: прошлые цели и нынешние мотивы

Ранее в 2025 году Interlock RAT участвовал в атаках на местные органы власти и образовательные учреждения Великобритании, используя версию Node.js. Однако недавний переход на PHP, распространённый язык веб-разработки, предполагает более гибкий подход, ориентированный на более широкий спектр отраслей. Переход на PHP свидетельствует о тактическом решении расширить векторы заражения, потенциально используя уязвимые веб-инфраструктуры.

Ключевые показатели кампании

Жертвам и специалистам по кибербезопасности следует обратить внимание на следующие отличительные черты последних операций Interlock:

Первоначальный вектор атаки:

  • Однострочные инъекции JavaScript на легитимных, но скомпрометированных веб-сайтах.
  • Перенаправление на поддельные страницы CAPTCHA с использованием фильтрации по IP.

Поведение вредоносного ПО после заражения:

  • Разведка хоста и кража системной информации в формате JSON.
  • Проверка привилегий и удаленное выполнение полезной нагрузки.
  • Сохранение данных на основе реестра и использование RDP для перемещения.

Заключение: Растущий профиль угрозы Interlock Group

Появление PHP-варианта Interlock RAT демонстрирует растущую универсальность группировки и её стремление опережать защитные меры. Используя как веб-скрипты, так и встроенные системные функции, злоумышленники Interlock стирают грань между традиционным распространением вредоносного ПО и креативным злоупотреблением повседневными функциями системы. Службам безопасности следует сохранять бдительность и внедрять многоуровневую защиту для обнаружения и блокировки таких новых угроз.

В тренде

Мошенничество при размещении заказа

Вредоносное ПО, Фишинг, Спам
В цифровую эпоху электронная почта остается одним из самых распространенных средств коммуникации и одним из самых злоупотребляемых. Среди бесчисленных вредоносных кампаний по электронной почте,...

Wild Nature

Потенциально нежелательные программы, Браузерные хайджекеры
В эпоху, когда безопасность в Интернете важна как никогда, пользователи должны быть бдительны к навязчивому программному обеспечению, такому как потенциально нежелательные программы (ПНП). Эти,...

Наиболее просматриваемые

Загрузка...