Interlock RAT

இன்டர்லாக் ரான்சம்வேர் செயல்பாட்டிற்குப் பின்னால் உள்ள சைபர் குற்றவாளிகள், தங்கள் தனிப்பயன் ரிமோட் அக்சஸ் ட்ரோஜனின் (RAT) புதிதாக உருவாக்கப்பட்ட PHP மாறுபாடான இன்டர்லாக் RAT, NodeSnake என்றும் அழைக்கப்படுவதன் மூலம் தங்கள் முயற்சிகளை அதிகரித்து வருகின்றனர். இந்த மேம்படுத்தப்பட்ட அச்சுறுத்தல், முன்னர் அறியப்பட்ட ClickFix நுட்பத்தின் ஒரு பிரிவான FileFix என அழைக்கப்படும் ஒரு பரிணாம வளர்ச்சியடைந்த விநியோக பொறிமுறையைப் பயன்படுத்தி பரவலான பிரச்சாரத்தில் காணப்படுகிறது. இந்த வளர்ச்சி குழுவின் தாக்குதல் உத்தியில் குறிப்பிடத்தக்க மாற்றத்தைக் குறிக்கிறது, அவர்களின் வரம்பை விரிவுபடுத்துகிறது மற்றும் அதிகரித்து வரும் தொழில்நுட்ப நுட்பத்தை நிரூபிக்கிறது.

திருட்டுத்தனமான நுழைவு: ஸ்கிரிப்ட் ஊசி மற்றும் போக்குவரத்து திசைதிருப்பல்

மே 2025 முதல் செயலில் உள்ள இந்த பிரச்சாரம், HTML குறியீட்டில் புதைக்கப்பட்ட ஒரு தீங்கற்ற ஒற்றை வரி ஜாவாஸ்கிரிப்ட் துணுக்கை உட்செலுத்துவதன் மூலம் தொடங்குகிறது. இந்த ஸ்கிரிப்ட் ஒரு போக்குவரத்து விநியோக அமைப்பாக (TDS) செயல்படுகிறது, இலக்கு பார்வையாளர்களை போலி CAPTCHA சரிபார்ப்பு பக்கங்களுக்கு திருப்பிவிட IP அடிப்படையிலான வடிகட்டலைப் பயன்படுத்துகிறது. இந்த மோசடி பக்கங்கள் பயனர்களை தீங்கிழைக்கும் பவர்ஷெல் ஸ்கிரிப்ட்களை இயக்க ஏமாற்ற ClickFix அடிப்படையிலான கவர்ச்சிகளை நம்பியுள்ளன. இதன் விளைவாக இன்டர்லாக் RAT நிறுவப்படுகிறது, இது தாக்குபவர்களுக்கு பாதிக்கப்பட்டவரின் அமைப்பில் ஒரு இடத்தை வழங்குகிறது.

FileFix: ஆயுதமயமாக்கப்பட்ட டெலிவரி புதுமை

ஜூன் 2025 இல் காணப்பட்ட சமீபத்திய பிரச்சாரங்கள், ClickFix இன் மேம்பட்ட பதிப்பான FileFix ஐ மைய தொற்று திசையனாகப் பயன்படுத்துவதைக் காட்டுகின்றன. FileFix, பயனர்களை தீங்கிழைக்கும் கட்டளைகளை இயக்க சமூக ரீதியாக பொறியியலாக்க Windows File Explorer இன் முகவரிப் பட்டியை பயன்படுத்துகிறது. முதலில் ஜூன் 2025 இல் கருத்துக்கான ஆதாரமாக நிரூபிக்கப்பட்ட FileFix, இப்போது Interlock RAT இன் PHP மாறுபாட்டை விநியோகிக்க செயல்படுத்தப்பட்டுள்ளது, மேலும் சில சந்தர்ப்பங்களில், இந்த வரிசைப்படுத்தல் மிகவும் பாரம்பரியமான Node.js- அடிப்படையிலான மாறுபாட்டை நிறுவுவதற்கு முன்னோடியாக செயல்படுகிறது.

பல-நிலை பேலோடுகள் மற்றும் திருட்டுத்தனமான திறன்கள்

பயன்படுத்தப்பட்டதும், இன்டர்லாக் RAT ஹோஸ்ட் கண்காணிப்பு மற்றும் கணினி தகவல் வெளியேற்றத்தை JSON வடிவத்தில் தொடங்குகிறது. இது சலுகை நிலைகளை (USER, ADMIN, அல்லது SYSTEM) சரிபார்த்து, தொலை கட்டளை மற்றும் கட்டுப்பாட்டு (C2) சேவையகத்துடன் தொடர்பை ஏற்படுத்துகிறது. கூடுதல் பேலோடுகள், EXE அல்லது DLL கோப்புகள், செயல்படுத்தலுக்காகப் பெறப்படுகின்றன.

• நிலைத்தன்மை வழிமுறைகள் பின்வருமாறு:
• தொடக்க செயல்பாட்டைப் பராமரிக்க விண்டோஸ் பதிவேட்டை மாற்றியமைத்தல்.
• ரிமோட் டெஸ்க்டாப் புரோட்டோகால் (RDP) அணுகல் மூலம் பக்கவாட்டு இயக்கத்தை இயக்குதல்.

மேலும், குறிப்பிடத்தக்க ஏய்ப்பு நுட்பம் C2 சேவையகத்தின் உண்மையான இருப்பிடத்தை மறைக்கும் Cloudflare Tunnel துணை டொமைன்களைப் பயன்படுத்துவதை உள்ளடக்கியது. சுரங்கப்பாதைகள் சீர்குலைந்தால் இணைப்பைப் பராமரிக்க கடின-குறியிடப்பட்ட IP முகவரிகள் காப்புப்பிரதிகளாகச் செயல்படுகின்றன.

அச்சுறுத்தலைக் கண்காணித்தல்: கடந்தகால இலக்குகள் மற்றும் தற்போதைய நோக்கங்கள்

2025 ஆம் ஆண்டின் தொடக்கத்தில், Node.js மாறுபாட்டைப் பயன்படுத்தி, UK இல் உள்ள உள்ளூர் அரசு மற்றும் கல்வி நிறுவனங்கள் மீதான தாக்குதல்களில் Interlock RAT ஈடுபட்டது. இருப்பினும், ஒரு பொதுவான வலை மேம்பாட்டு மொழியான PHP க்கு சமீபத்தில் மாற்றப்பட்டது, பரந்த அளவிலான தொழில்களை இலக்காகக் கொண்ட ஒரு சந்தர்ப்பவாத அணுகுமுறையைக் குறிக்கிறது. PHP க்கு மாறுவது, தொற்று திசையன்களை விரிவுபடுத்துவதற்கான ஒரு தந்திரோபாய முடிவைக் குறிக்கிறது, இது பாதிக்கப்படக்கூடிய வலை அடிப்படையிலான உள்கட்டமைப்புகளை சுரண்டக்கூடும்.

பிரச்சாரத்தின் முக்கிய குறிகாட்டிகள்

இன்டர்லாக்கின் சமீபத்திய செயல்பாடுகளின் பின்வரும் தனிச்சிறப்புகளைப் பற்றி பாதிக்கப்பட்டவர்களும் சைபர் பாதுகாப்பு ஆர்வலர்களும் எச்சரிக்கையாக இருக்க வேண்டும்:

ஆரம்ப தாக்குதல் திசையன்:

• முறையான ஆனால் சமரசம் செய்யப்பட்ட வலைத்தளங்களில் ஒற்றை வரி ஜாவாஸ்கிரிப்ட் ஊசிகள்.
• IP வடிகட்டலைப் பயன்படுத்தி போலி CAPTCHA பக்கங்களுக்கு திருப்பிவிடுதல்.

தொற்றுக்குப் பிந்தைய தீம்பொருள் நடத்தை:

• ஹோஸ்ட் கண்காணிப்பு மற்றும் JSON-வடிவமைக்கப்பட்ட சிஸ்டம் தகவல் வெளியேற்றம்.
• சிறப்புரிமை சோதனைகள் மற்றும் தொலைதூர பேலோட் செயல்படுத்தல்.
• இயக்கத்திற்கான பதிவேடு அடிப்படையிலான நிலைத்தன்மை மற்றும் RDP சுரண்டல்.

முடிவு: இன்டர்லாக் குழுவின் வளர்ந்து வரும் அச்சுறுத்தல் விவரக்குறிப்பு

இன்டர்லாக் RAT இன் PHP மாறுபாட்டின் தோற்றம், குழுவின் வளர்ந்து வரும் பல்துறைத்திறன் மற்றும் தற்காப்பு எதிர் நடவடிக்கைகளுக்கு முன்னால் இருக்க வேண்டும் என்ற நோக்கத்தை நிரூபிக்கிறது. வலை ஸ்கிரிப்டிங் மற்றும் சொந்த அமைப்பு அம்சங்கள் இரண்டையும் பயன்படுத்துவதன் மூலம், இன்டர்லாக் தாக்குபவர்கள் பாரம்பரிய தீம்பொருள் விநியோகத்திற்கும் அன்றாட அமைப்பு செயல்பாடுகளின் ஆக்கப்பூர்வமான துஷ்பிரயோகத்திற்கும் இடையிலான கோடுகளை மங்கலாக்குகிறார்கள். பாதுகாப்பு குழுக்கள் விழிப்புடன் இருக்க வேண்டும் மற்றும் இதுபோன்ற வளர்ந்து வரும் அச்சுறுத்தல்களைக் கண்டறிந்து தடுக்க அடுக்கு பாதுகாப்புகளை செயல்படுத்த வேண்டும்.