Kuota e zbritjes me shumë licencë
Baza e të dhënave të kërcënimeve Mjetet e administrimit në distancë Interlock RAT

Interlock RAT

Nga MezoMjetet e administrimit në distancë, Kërcënimi i avancuar i vazhdueshëm (APT), Ransomware
Përkthe në:

Kriminelët kibernetikë që qëndrojnë pas operacionit ransomware Interlock po përshkallëzojnë përpjekjet e tyre me një variant të zhvilluar rishtazi në PHP të trojanit të tyre të personalizuar me akses në distancë (RAT), Interlock RAT, i njohur edhe si NodeSnake. Ky kërcënim i përmirësuar është vërejtur në një fushatë të përhapur duke përdorur një mekanizëm të evoluar shpërndarjeje të quajtur FileFix, një degëzim i teknikës së njohur më parë ClickFix. Zhvillimi shënon një ndryshim të rëndësishëm në strategjinë e sulmit të grupit, duke zgjeruar shtrirjen e tyre dhe duke demonstruar sofistikim teknik në rritje.

Hyrje e Fshehtë: Injektim Skripti dhe Ridrejtim Trafiku

Fushata, aktive që nga maji i vitit 2025, fillon me faqet e internetit të kompromentuara të injektuara me një fragment JavaScript me një rresht të vetëm në dukje të mirë të fshehur në kodin HTML. Ky skript funksionon si një sistem shpërndarjeje trafiku (TDS), duke përdorur filtrim të bazuar në IP për të ridrejtuar vizitorët e synuar në faqet e rreme të verifikimit CAPTCHA. Këto faqe mashtruese mbështeten në karremët e bazuar në ClickFix për të mashtruar përdoruesit që të ekzekutojnë skripte të dëmshme PowerShell. Rezultati është instalimi i Interlock RAT, duke u dhënë sulmuesve një pikëmbështetje në sistemin e viktimës.

FileFix: Një inovacion i shpërndarjes së armatosur

Fushatat e fundit të vëzhguara në qershor 2025 tregojnë përdorimin e FileFix, një version më i avancuar i ClickFix, si vektori kryesor i infeksionit. FileFix shfrytëzon shiritin e adresave të Windows File Explorer për të modifikuar përdoruesit në mënyrë sociale që të ekzekutojnë komanda keqdashëse. FileFix, i demonstruar fillimisht si një provë koncepti në qershor 2025, tani është vënë në funksion për të shpërndarë variantin PHP të Interlock RAT, dhe në disa raste, ky vendosje vepron si një pararendës i instalimit të variantit më tradicional të bazuar në Node.js.

Ngarkesa shumëfazore dhe aftësi të fshehta

Pasi të vendoset, Interlock RAT fillon zbulimin e hostit dhe nxjerrjen e informacionit të sistemit në formatin JSON. Ai kontrollon për nivelet e privilegjeve (USER, ADMIN ose SYSTEM) dhe krijon kontakt me një server komande dhe kontrolli në distancë (C2). Ngarkesa shtesë, qoftë skedarë EXE ose DLL, merren për ekzekutim.

  • Mekanizmat e qëndrueshmërisë përfshijnë:
  • Modifikimi i Regjistrit të Windows për të ruajtur ekzekutimin e fillimit.
  • Aktivizimi i lëvizjes anësore përmes aksesit të Protokollit të Desktopit në Remote (RDP).

Për më tepër, një teknikë e dukshme shmangieje përfshin përdorimin e nën-domeneve të Tunnelit Cloudflare, duke maskuar vendndodhjen aktuale të serverit C2. Adresat IP të koduara në mënyrë të ngurtë shërbejnë si kopje rezervë për të ruajtur lidhjen nëse tunelet ndërpriten.

Gjurmimi i Kërcënimit: Objektivat e Kaluara dhe Motivet e Tanishme

Më herët në vitin 2025, Interlock RAT u përfshi në sulme ndaj qeverisjes vendore dhe institucioneve arsimore në Mbretërinë e Bashkuar, duke përdorur variantin Node.js. Megjithatë, kalimi i fundit në PHP, një gjuhë e zakonshme e zhvillimit të uebit, sugjeron një qasje më oportuniste që synon një gamë më të gjerë industrish. Kalimi në PHP tregon një vendim taktik për të zgjeruar vektorët e infeksionit, duke shfrytëzuar potencialisht infrastrukturat e cenueshme të bazuara në ueb.

Treguesit kryesorë të fushatës

Viktimat dhe operativët e sigurisë kibernetike duhet të jenë të vëmendshëm ndaj karakteristikave të mëposhtme të operacioneve të fundit të Interlock:

Vektori i Sulmit Fillestar:

  • Injeksione JavaScript me një rresht të vetëm në faqet e internetit të ligjshme, por të kompromentuara.
  • Ridrejtim në faqe të rreme CAPTCHA duke përdorur filtrimin e IP-së.

Sjellja e programeve keqdashëse pas infektimit:

  • Zbulimi i hostit dhe nxjerrja e informacionit të sistemit në format JSON.
  • Kontrollet e privilegjeve dhe ekzekutimi i ngarkesës në distancë.
  • Qëndrueshmëria e bazuar në regjistër dhe shfrytëzimi i RDP për lëvizje.

Përfundim: Profili i kërcënimit në rritje i Grupit Interlock

Shfaqja e variantit PHP të Interlock RAT tregon shkathtësinë në rritje të grupit dhe qëllimin për të qëndruar përpara masave mbrojtëse. Duke shfrytëzuar si skriptimin e uebit ashtu edhe veçoritë e sistemit vendas, sulmuesit e Interlock po i zbehin vijat ndarëse midis shpërndarjes tradicionale të malware-it dhe abuzimit krijues të funksionaliteteve të përditshme të sistemit. Ekipet e sigurisë duhet të mbeten vigjilente dhe të zbatojnë mbrojtje të shtresuara për të zbuluar dhe bllokuar kërcënime të tilla në zhvillim e sipër.

Në trend

Më e shikuara

Po ngarkohet...