Попуст за више лиценци
Тхреат Датабасе Алати за удаљену администрацију Interlock RAT

Interlock RAT

До Mezo. у Алати за удаљену администрацију, Напредна трајна претња (АПТ), Рансомваре
Преведи на:

Сајбер криминалци који стоје иза операције рансомвера Interlock појачавају своје напоре помоћу новоразвијене PHP варијанте свог прилагођеног тројанца за удаљени приступ (RAT), Interlock RAT, познатог и као NodeSnake. Ова надограђена претња је примећена у широко распрострањеној кампањи користећи еволуирани механизам испоруке назван FileFix, огранак раније познате технике ClickFix. Овај развој означава значајан помак у стратегији напада групе, проширујући њихов домет и демонстрирајући све већу техничку софистицираност.

Прикривени улазак: Убризгавање скрипти и преусмеравање саобраћаја

Кампања, активна од маја 2025. године, почиње са компромитованим веб-сајтовима у које је убризган наизглед бенигни једноредни JavaScript исечак закопан у HTML коду. Овај скрипт функционише као систем за дистрибуцију саобраћаја (TDS), користећи филтрирање засновано на IP адреси да би преусмерио циљане посетиоце на лажне CAPTCHA странице за верификацију. Ове лажне странице се ослањају на мамце засноване на ClickFix-у како би превариле кориснике да извршавају злонамерне PowerShell скрипте. Резултат је инсталација Interlock RAT-а, што нападачима даје упориште у систему жртве.

FileFix: Иновација у испоруци као оружје

Најновије кампање примећене у јуну 2025. године показују употребу FileFix-а, напредније верзије ClickFix-а, као основног вектора инфекције. FileFix искоришћава адресну траку Windows File Explorer-а да би друштвено навео кориснике да покрећу злонамерне команде. Првобитно демонстриран као доказ концепта у јуну 2025. године, FileFix је сада операционализован за дистрибуцију PHP варијанте Interlock RAT-а, а у неким случајевима, ово распоређивање делује као претеча инсталације традиционалније варијанте засноване на Node.js-у.

Вишестепени терет и могућности прикривености

Једном када се инсталира, Interlock RAT покреће извиђање хоста и извлачење системских информација у JSON формату. Проверава нивое привилегија (КОРИСНИК, АДМИНИСТРАТОР или СИСТЕМ) и успоставља контакт са удаљеним сервером за командовање и контролу (C2). Додатни корисни терет, било EXE или DLL датотеке, се преузима за извршавање.

  • Механизми перзистенције укључују:
  • Измена Windows регистра ради одржавања извршавања при покретању.
  • Омогућавање бочног кретања путем приступа путем протокола за удаљену радну површину (RDP).

Штавише, значајна техника избегавања укључује коришћење поддомена Cloudflare Tunnel-а, маскирајући стварну локацију C2 сервера. Хардкордиране IP адресе служе као резервне копије за одржавање повезаности ако дође до прекида у тунелима.

Праћење претње: Прошле мете и садашњи мотиви

Раније 2025. године, Interlock RAT је био укључен у нападе на локалне самоуправе и образовне институције у Великој Британији, користећи варијанту Node.js. Међутим, недавни прелазак на PHP, уобичајени језик за веб развој, сугерише опортунистичкији приступ усмерен на шири спектар индустрија. Прелазак на PHP указује на тактичку одлуку о проширењу вектора инфекције, потенцијално искоришћавајући рањиве веб инфраструктуре.

Кључни индикатори кампање

Жртве и стручњаци за сајбер безбедност треба да буду свесни следећих карактеристика најновијих операција компаније Интерлок:

Почетни вектор напада:

  • Једноредне JavaScript инјекције на легитимним, али компромитованим веб локацијама.
  • Преусмеравање на лажне CAPTCHA странице коришћењем IP филтрирања.

Понашање злонамерног софтвера након инфекције:

  • Извиђање хоста и крађа системских информација у JSON формату.
  • Провере привилегија и даљинско извршавање корисног терета.
  • Перзистентност заснована на регистру и искоришћавање RDP-а за кретање.

Закључак: Растући профил претњи Интерлок групе

Појава PHP варијанте Interlock RAT-а показује растућу свестраност групе и намеру да буде испред одбрамбених контрамера. Користећи и веб скриптовање и природне системске функције, нападачи Interlock-а бришу границе између традиционалне испоруке злонамерног софтвера и креативне злоупотребе свакодневних системских функционалности. Безбедносни тимови треба да остану будни и да имплементирају слојевиту одбрану како би открили и блокирали такве претње које се развијају.

У тренду

Најгледанији

Злонамерних програма

Пецање, Спам
35,768
Порука о превари „Аппле Паи суспендован“ је врста тактике „пецања“ која циља кориснике Аппле Паи-а. У поруци се тврди да је корисников Аппле Паи новчаник суспендован и позива их да кликну на везу како би га вратили. Међутим, клик на везу одвешће корисника на лажну веб локацију која је дизајнирана да украде њихове личне и финансијске податке. Ако корисник постане жртва ове шеме, последице могу...
Учитавање...