Rabattoffert för flera licenser
Hotdatabas Fjärradministrationsverktyg Interlock RAT

Interlock RAT

Med Mezo år Fjärradministrationsverktyg, Advanced Persistent Threat (APT), Ransomware
Översätt till:

Cyberbrottslingarna bakom ransomware-operationen Interlock trappar upp sina ansträngningar med en nyutvecklad PHP-variant av sin anpassade fjärråtkomsttrojan (RAT), Interlock RAT, även känd som NodeSnake. Detta uppgraderade hot har observerats i en utbredd kampanj med en utvecklad leveransmekanism kallad FileFix, en utlöpare av den tidigare kända ClickFix-tekniken. Utvecklingen markerar ett betydande skifte i gruppens attackstrategi, utökar deras räckvidd och visar på ökad teknisk sofistikering.

Smygande inmatning: Skriptinjektion och omdirigering av trafik

Kampanjen, som varit aktiv sedan maj 2025, börjar med att komprometterade webbplatser injiceras med ett till synes godartat enradigt JavaScript-kodavsnitt begravt i HTML-koden. Detta skript fungerar som ett trafikdistributionssystem (TDS) och använder IP-baserad filtrering för att omdirigera riktade besökare till falska CAPTCHA-verifieringssidor. Dessa bedrägliga sidor förlitar sig på ClickFix-baserade lockbete för att lura användare att köra skadliga PowerShell-skript. Resultatet är installationen av Interlock RAT, vilket ger angripare fotfäste i offrets system.

FileFix: En beväpnad leveransinnovation

De senaste kampanjerna som observerades i juni 2025 visar användningen av FileFix, en mer avancerad version av ClickFix, som den centrala infektionsvektorn. FileFix utnyttjar adressfältet i Windows Utforskare för att socialt manipulera användare att köra skadliga kommandon. FileFix, som ursprungligen demonstrerades som ett proof-of-concept i juni 2025, har nu operationaliserats för att distribuera PHP-varianten av Interlock RAT, och i vissa fall fungerar denna distribution som en föregångare till installationen av den mer traditionella Node.js-baserade varianten.

Flerstegsnyttolaster och smygfunktioner

När den är driftsatt initierar Interlock RAT värdrekognoscering och systeminformationsexfiltrering i JSON-format. Den kontrollerar behörighetsnivåer (USER, ADMIN eller SYSTEM) och upprättar kontakt med en fjärrserver för kommando- och kontroll (C2). Ytterligare nyttolaster, antingen EXE- eller DLL-filer, hämtas för körning.

  • Persistensmekanismer inkluderar:
  • Ändra Windows-registret för att bibehålla startkörningen.
  • Möjliggör lateral förflyttning via RDP-åtkomst (Remote Desktop Protocol).

Dessutom involverar en anmärkningsvärd kringgående teknik användningen av Cloudflare Tunnel-underdomäner, vilket maskerar C2-serverns faktiska plats. Hårdkodade IP-adresser fungerar som säkerhetskopior för att upprätthålla anslutningen om tunnlarna störs.

Att spåra hotet: Tidigare mål och nuvarande motiv

Tidigare under 2025 var Interlock RAT inblandat i attacker mot lokala myndigheter och utbildningsinstitutioner i Storbritannien, med hjälp av Node.js-varianten. Den senaste övergången till PHP, ett vanligt webbutvecklingsspråk, tyder dock på en mer opportunistisk strategi riktad mot ett bredare spektrum av branscher. Övergången till PHP indikerar ett taktiskt beslut att bredda infektionsvektorer, vilket potentiellt utnyttjar sårbara webbaserade infrastrukturer.

Viktiga indikatorer för kampanjen

Offer och cybersäkerhetspersonal bör vara uppmärksamma på följande kännetecken för Interlocks senaste verksamhet:

Initial attackvektor:

  • Enkelradiga JavaScript-injektioner på legitima men komprometterade webbplatser.
  • Omdirigering till falska CAPTCHA-sidor med hjälp av IP-filtrering.

Beteende hos skadlig programvara efter infektion:

  • Värdrekognosering och JSON-formaterad systeminformationsexfiltrering.
  • Privilegiekontroller och fjärrkörning av nyttolast.
  • Registerbaserad persistens och RDP-utnyttjande för förflyttning.

Slutsats: Interlock Groups växande hotbild

Framväxten av PHP-varianten av Interlock RAT visar gruppens växande mångsidighet och avsikt att ligga steget före defensiva motåtgärder. Genom att utnyttja både webbskript och inbyggda systemfunktioner suddar Interlock-angripare ut gränserna mellan traditionell leverans av skadlig kod och kreativt missbruk av vardagliga systemfunktioner. Säkerhetsteam bör förbli vaksamma och implementera försvar i flera lager för att upptäcka och blockera sådana föränderliga hot.

Trendigt

Mest sedda

Läser in...