Interlock RAT
Kyberzločinci stojaci za ransomvérom Interlock stupňujú svoje úsilie pomocou novovyvinutého PHP variantu svojho vlastného trójskeho koňa pre vzdialený prístup (RAT), Interlock RAT, známeho aj ako NodeSnake. Táto vylepšená hrozba bola pozorovaná v rozsiahlej kampani využívajúcej vyvinutý mechanizmus doručovania s názvom FileFix, ktorý je odnožou predtým známej techniky ClickFix. Tento vývoj predstavuje významný posun v útočnej stratégii skupiny, rozširuje ich dosah a demonštruje rastúcu technickú sofistikovanosť.
Obsah
Nenápadný vstup: Vkladanie skriptov a presmerovanie prevádzky
Kampaň, ktorá prebieha od mája 2025, začína napadnutými webovými stránkami, do ktorých je vložený zdanlivo neškodný jednoriadkový úryvok kódu JavaScript vložený do HTML kódu. Tento skript funguje ako systém distribúcie návštevnosti (TDS) a využíva filtrovanie na základe IP adries na presmerovanie cielených návštevníkov na falošné overovacie stránky CAPTCHA. Tieto podvodné stránky sa spoliehajú na návnady založené na ClickFixe, ktoré oklamú používateľov a prinútia ich spustiť škodlivé skripty PowerShell. Výsledkom je inštalácia Interlock RAT, ktorá útočníkom poskytuje oporu v systéme obete.
FileFix: Inovácia v oblasti doručovania ako zbraň
Najnovšie kampane pozorované v júni 2025 demonštrujú použitie FileFixu, pokročilejšej verzie ClickFixu, ako hlavného vektora infekcie. FileFix využíva adresný riadok Prieskumníka súborov systému Windows na sociálne inžinierstvo používateľov, aby spúšťali škodlivé príkazy. FileFix, pôvodne demonštrovaný ako testovací koncept v júni 2025, bol teraz uvedený do prevádzky na distribúciu PHP variantu Interlock RAT a v niektorých prípadoch toto nasadenie slúži ako predchodca inštalácie tradičnejšieho variantu založeného na Node.js.
Viacstupňové užitočné zaťaženie a schopnosti nenápadnosti
Po nasadení Interlock RAT spustí prieskum hostiteľa a získanie systémových informácií vo formáte JSON. Kontroluje úrovne oprávnení (USER, ADMIN alebo SYSTEM) a nadväzuje kontakt so vzdialeným serverom velenia a riadenia (C2). Na vykonanie sa načítajú ďalšie užitočné zaťaženia, buď súbory EXE alebo DLL.
- Medzi mechanizmy perzistencie patria:
- Úprava registra systému Windows na zachovanie vykonávania pri spustení.
- Umožnenie laterálneho pohybu prostredníctvom prístupu cez protokol RDP (Remote Desktop Protocol).
Okrem toho, pozoruhodná technika obchádzania zahŕňa použitie subdomén Cloudflare Tunnel, ktoré maskujú skutočnú polohu servera C2. Pevne zakódované IP adresy slúžia ako zálohy na udržanie pripojenia v prípade prerušenia tunelov.
Sledovanie hrozby: Minulé ciele a súčasné motívy
Začiatkom roka 2025 sa Interlock RAT podieľal na útokoch na miestne samosprávy a vzdelávacie inštitúcie v Spojenom kráľovstve, pričom využíval variant Node.js. Nedávny prechod na PHP, bežný jazyk pre vývoj webových stránok, však naznačuje oportunistickejší prístup zameraný na širšiu škálu odvetví. Prechod na PHP naznačuje taktické rozhodnutie rozšíriť vektory infekcie, ktoré potenciálne zneužijú zraniteľné webové infraštruktúry.
Kľúčové ukazovatele kampane
Obete a pracovníci kybernetickej bezpečnosti by si mali byť vedomí nasledujúcich charakteristických znakov najnovších operácií spoločnosti Interlock:
Počiatočný vektor útoku:
- Jednoriadkové JavaScriptové injekcie na legitímnych, ale kompromitovaných webových stránkach.
- Presmerovanie na falošné stránky CAPTCHA pomocou filtrovania IP adries.
Správanie škodlivého softvéru po infekcii:
- Prieskum hostiteľa a exfiltrácia systémových informácií vo formáte JSON.
- Kontroly privilégií a vzdialené spustenie užitočného zaťaženia.
- Perzistencia založená na registri a využitie RDP na presun.
Záver: Rastúci profil hrozieb skupiny Interlock
Vznik PHP variantu Interlock RAT demonštruje rastúcu všestrannosť skupiny a jej zámer udržať si náskok pred obrannými protiopatreniami. Využívaním webových skriptov aj natívnych systémových funkcií útočníci Interlock stierajú hranice medzi tradičným doručovaním škodlivého softvéru a kreatívnym zneužívaním každodenných systémových funkcií. Bezpečnostné tímy by mali zostať ostražití a implementovať viacvrstvovú obranu na detekciu a blokovanie takýchto vyvíjajúcich sa hrozieb.
