Popust za več licenc
Podjetje o grožnjah Orodja za oddaljeno upravljanje Interlock RAT

Interlock RAT

Do leta Mezo leta Orodja za oddaljeno upravljanje, Napredna trajna grožnja (APT), Ransomware
Prevedi v:

Kibernetski kriminalci, ki stojijo za operacijo izsiljevalske programske opreme Interlock, stopnjujejo svoja prizadevanja z novo razvito različico PHP svojega trojanca za oddaljeni dostop (RAT) po meri, Interlock RAT, znanega tudi kot NodeSnake. Ta nadgrajena grožnja je bila opažena v obsežni kampanji z uporabo razvitega mehanizma za dostavo, imenovanega FileFix, ki je odcep prej znane tehnike ClickFix. Razvoj pomeni pomemben premik v strategiji napada skupine, saj širi njihov doseg in dokazuje vse večjo tehnično dovršenost.

Prikrit vstop: Vbrizgavanje skriptov in preusmeritev prometa

Kampanja, ki poteka od maja 2025, se začne z ogroženimi spletnimi mesti, v katere je v kodo HTML vbrizgan na videz neškodljiv enovrstični delček kode JavaScript. Ta skripta deluje kot sistem za distribucijo prometa (TDS) in uporablja filtriranje na podlagi IP-naslovov za preusmeritev ciljnih obiskovalcev na lažne strani za preverjanje CAPTCHA. Te goljufive strani se zanašajo na vabe, ki temeljijo na ClickFixu, da bi uporabnike zavedle do izvajanja zlonamernih skript PowerShell. Rezultat je namestitev Interlock RAT, ki napadalcem omogoči vstop v sistem žrtve.

FileFix: Inovacija dostave, ki je orožje

Najnovejše kampanje, opažene junija 2025, prikazujejo uporabo FileFixa, naprednejše različice ClickFixa, kot osrednjega vektorja okužbe. FileFix izkorišča naslovno vrstico Raziskovalca datotek sistema Windows, da uporabnike s socialnim inženiringom prepriča, da izvajajo zlonamerne ukaze. FileFix, ki je bil prvotno predstavljen kot dokaz koncepta junija 2025, je zdaj operativen za distribucijo različice Interlock RAT v PHP, v nekaterih primerih pa ta namestitev deluje kot predhodnica namestitve bolj tradicionalne različice, ki temelji na Node.js.

Večstopenjski koristni tovori in prikrite zmogljivosti

Ko je Interlock RAT nameščen, sproži izvidovanje gostitelja in pridobivanje sistemskih informacij v formatu JSON. Preveri ravni privilegijev (UPORABNIK, ADMIN ali SISTEM) in vzpostavi stik z oddaljenim strežnikom za upravljanje in nadzor (C2). Za izvedbo se pridobijo dodatni koristni tovori, bodisi datoteke EXE bodisi DLL.

  • Mehanizmi vztrajnosti vključujejo:
  • Spreminjanje registra sistema Windows za ohranitev zagona.
  • Omogočanje lateralnega premikanja prek dostopa prek protokola RDP (Remote Desktop Protocol).

Poleg tega opazna tehnika izogibanja vključuje uporabo poddomen Cloudflare Tunnel, ki prikrivajo dejansko lokacijo strežnika C2. Trdo kodirani IP-naslovi služijo kot rezervne kopije za ohranjanje povezljivosti, če so tuneli prekinjeni.

Sledenje grožnji: pretekle tarče in sedanji motivi

V začetku leta 2025 je bil Interlock RAT vpleten v napade na lokalne vladne in izobraževalne ustanove v Združenem kraljestvu, pri čemer je izkoriščal različico Node.js. Vendar pa nedavni prehod na PHP, pogost jezik za spletni razvoj, kaže na bolj oportunističen pristop, usmerjen na širši spekter panog. Prehod na PHP kaže na taktično odločitev za razširitev vektorjev okužb, ki bi lahko izkoristili ranljive spletne infrastrukture.

Ključni kazalniki kampanje

Žrtve in strokovnjaki za kibernetsko varnost morajo biti pozorni na naslednje značilnosti Interlockovih najnovejših operacij:

Začetni vektor napada:

  • Vbrizgavanje ene vrstice JavaScripta na legitimna, a ogrožena spletna mesta.
  • Preusmeritev na lažne strani CAPTCHA z uporabo filtriranja IP-naslovov.

Obnašanje zlonamerne programske opreme po okužbi:

  • Izvidovanje gostitelja in izkrcanje sistemskih informacij v formatu JSON.
  • Preverjanje privilegijev in oddaljeno izvajanje koristnega tovora.
  • Vztrajnost na podlagi registra in izkoriščanje RDP za premikanje.

Zaključek: Rastoči profil grožnje skupine Interlock

Pojav različice Interlock RAT v PHP kaže na naraščajočo vsestranskost skupine in njeno namero, da ostane korak pred obrambnimi protiukrepi. Z izkoriščanjem spletnih skript in izvornih sistemskih funkcij napadalci Interlock brišejo meje med tradicionalnim dostavljanjem zlonamerne programske opreme in ustvarjalno zlorabo vsakodnevnih sistemskih funkcij. Varnostne ekipe bi morale ostati pozorne in izvajati večplastno obrambo za odkrivanje in blokiranje takšnih razvijajočih se groženj.

V trendu

Najbolj gledan

Nalaganje...