Interlock RAT
อาชญากรไซเบอร์ที่อยู่เบื้องหลังปฏิบัติการแรนซัมแวร์ Interlock กำลังยกระดับความพยายามด้วย Interlock RAT หรือที่รู้จักกันในชื่อ NodeSnake ซึ่งเป็นโทรจันการเข้าถึงระยะไกล (RAT) เวอร์ชัน PHP ที่พัฒนาขึ้นใหม่ ภัยคุกคามที่ได้รับการยกระดับนี้พบเห็นในแคมเปญการโจมตีที่แพร่หลายโดยใช้กลไกการส่งที่พัฒนาขึ้นใหม่ที่เรียกว่า FileFix ซึ่งเป็นเทคนิคที่แยกออกมาจากเทคนิค ClickFix ที่รู้จักกันก่อนหน้านี้ การพัฒนาครั้งนี้ถือเป็นการเปลี่ยนแปลงครั้งสำคัญในกลยุทธ์การโจมตีของกลุ่ม โดยขยายขอบเขตการเข้าถึงและแสดงให้เห็นถึงความซับซ้อนทางเทคนิคที่เพิ่มขึ้น
สารบัญ
การเข้าแบบแอบแฝง: การแทรกสคริปต์และการเปลี่ยนเส้นทางการรับส่งข้อมูล
แคมเปญนี้เริ่มดำเนินการตั้งแต่เดือนพฤษภาคม 2568 โดยเริ่มต้นด้วยเว็บไซต์ที่ถูกบุกรุกซึ่งแทรกโค้ด JavaScript บรรทัดเดียวที่ดูไม่เป็นอันตรายไว้ในโค้ด HTML สคริปต์นี้ทำหน้าที่เป็นระบบกระจายทราฟฟิก (TDS) โดยใช้การกรองตาม IP เพื่อเปลี่ยนเส้นทางผู้เข้าชมเป้าหมายไปยังหน้ายืนยัน CAPTCHA ปลอม หน้าเว็บปลอมเหล่านี้อาศัยเหยื่อล่อด้วย ClickFix เพื่อหลอกล่อให้ผู้ใช้รันสคริปต์ PowerShell ที่เป็นอันตราย ผลลัพธ์ที่ได้คือการติดตั้ง Interlock RAT ซึ่งทำให้ผู้โจมตีสามารถเจาะระบบของเหยื่อได้
FileFix: นวัตกรรมการจัดส่งที่เป็นอาวุธ
แคมเปญล่าสุดที่ตรวจพบในเดือนมิถุนายน 2568 แสดงให้เห็นถึงการใช้ FileFix ซึ่งเป็น ClickFix เวอร์ชันขั้นสูงกว่า เป็นช่องทางหลักในการแพร่เชื้อ FileFix ใช้ประโยชน์จากแถบที่อยู่ของ Windows File Explorer เพื่อหลอกล่อผู้ใช้ให้รันคำสั่งที่เป็นอันตราย เดิมที FileFix ได้ถูกสาธิตเป็นหลักฐานแนวคิดในเดือนมิถุนายน 2568 ปัจจุบัน FileFix ได้ถูกนำมาใช้งานจริงเพื่อเผยแพร่ Interlock RAT เวอร์ชัน PHP และในบางกรณี การใช้งานนี้ถือเป็นการเริ่มต้นก่อนที่จะติดตั้งเวอร์ชันดั้งเดิมที่ใช้ Node.js
ความสามารถในการบรรทุกหลายขั้นตอนและความสามารถในการพรางตัว
เมื่อติดตั้งแล้ว Interlock RAT จะเริ่มการตรวจสอบโฮสต์และขโมยข้อมูลระบบในรูปแบบ JSON โดยจะตรวจสอบระดับสิทธิ์ (USER, ADMIN หรือ SYSTEM) และติดต่อกับเซิร์ฟเวอร์ควบคุมและสั่งการระยะไกล (C2) เพย์โหลดเพิ่มเติม ไม่ว่าจะเป็นไฟล์ EXE หรือ DLL จะถูกดึงมาเพื่อดำเนินการ
- กลไกการคงอยู่ประกอบด้วย:
- การแก้ไขรีจิสทรีของ Windows เพื่อรักษาการดำเนินการเริ่มต้น
- การเปิดใช้งานการเคลื่อนที่ด้านข้างผ่านการเข้าถึง Remote Desktop Protocol (RDP)
ยิ่งไปกว่านั้น เทคนิคการหลบเลี่ยงที่โดดเด่นเกี่ยวข้องกับการใช้โดเมนย่อยของ Cloudflare Tunnel ซึ่งปกปิดตำแหน่งจริงของเซิร์ฟเวอร์ C2 ที่อยู่ IP แบบฮาร์ดโค้ดจะทำหน้าที่เป็นตัวสำรองเพื่อรักษาการเชื่อมต่อหากอุโมงค์ถูกขัดข้อง
การติดตามภัยคุกคาม: เป้าหมายในอดีตและแรงจูงใจในปัจจุบัน
ก่อนหน้านี้ในปี 2568 Interlock RAT ได้มีส่วนเกี่ยวข้องกับการโจมตีหน่วยงานปกครองส่วนท้องถิ่นและสถาบันการศึกษาในสหราชอาณาจักร โดยใช้ประโยชน์จาก Node.js อย่างไรก็ตาม การเปลี่ยนมาใช้ PHP ซึ่งเป็นภาษาที่ใช้ในการพัฒนาเว็บทั่วไปเมื่อเร็วๆ นี้ ชี้ให้เห็นถึงแนวทางที่ฉวยโอกาสมากขึ้น โดยมุ่งเป้าไปที่อุตสาหกรรมในวงกว้าง การเปลี่ยนมาใช้ PHP แสดงให้เห็นถึงการตัดสินใจเชิงกลยุทธ์ในการขยายขอบเขตการแพร่กระจาย ซึ่งอาจใช้ประโยชน์จากโครงสร้างพื้นฐานบนเว็บที่มีช่องโหว่
ตัวชี้วัดสำคัญของแคมเปญ
เหยื่อและผู้ปฏิบัติงานด้านความปลอดภัยทางไซเบอร์ควรตื่นตัวต่อคุณลักษณะเด่นต่อไปนี้ของปฏิบัติการล่าสุดของ Interlock:
เวกเตอร์การโจมตีเริ่มต้น:
- การแทรก JavaScript บรรทัดเดียวลงในเว็บไซต์ที่ถูกกฎหมายแต่ถูกบุกรุก
- การเปลี่ยนเส้นทางไปยังหน้า CAPTCHA ปลอมโดยใช้การกรอง IP
พฤติกรรมมัลแวร์หลังการติดเชื้อ:
- การลาดตระเวนโฮสต์และการแยกข้อมูลระบบในรูปแบบ JSON
- การตรวจสอบสิทธิ์และการดำเนินการโหลดระยะไกล
- การคงอยู่ตามรีจิสทรีและการใช้ประโยชน์จาก RDP เพื่อการเคลื่อนไหว
บทสรุป: โปรไฟล์ภัยคุกคามที่เพิ่มขึ้นของ Interlock Group
การเกิดขึ้นของ Interlock RAT เวอร์ชัน PHP แสดงให้เห็นถึงความสามารถรอบด้านที่เพิ่มขึ้นของกลุ่มและความตั้งใจที่จะก้าวล้ำนำหน้ามาตรการป้องกันเชิงรุก ด้วยการใช้ประโยชน์จากทั้งสคริปต์เว็บและฟีเจอร์ระบบพื้นฐาน ผู้โจมตี Interlock กำลังทำให้เส้นแบ่งระหว่างการส่งมัลแวร์แบบเดิมๆ กับการใช้ฟังก์ชันระบบอย่างไม่เหมาะสมอย่างสร้างสรรค์ ทีมรักษาความปลอดภัยควรเฝ้าระวังและปรับใช้การป้องกันแบบหลายชั้นเพื่อตรวจจับและป้องกันภัยคุกคามที่เปลี่ยนแปลงไปเช่นนี้
