Multi-License Discount Quote
Banta sa Database Remote Administration Tools Interlock RAT

Interlock RAT

Sa pamamagitan ng Mezo sa Remote Administration Tools, Advanced Persistent Threat (APT), Ransomware
Isalin To:

Ang mga cybercriminal sa likod ng operasyon ng Interlock ransomware ay pinalalaki ang kanilang mga pagsisikap sa isang bagong binuong variant ng PHP ng kanilang custom na remote access trojan (RAT), Interlock RAT, na kilala rin bilang NodeSnake. Ang na-upgrade na banta na ito ay naobserbahan sa isang malawakang kampanya gamit ang isang nagbagong mekanismo ng paghahatid na tinawag na FileFix, isang sanga ng dating kilalang ClickFix na pamamaraan. Ang pag-unlad ay nagmamarka ng isang makabuluhang pagbabago sa diskarte sa pag-atake ng grupo, pagpapalawak ng kanilang pag-abot at pagpapakita ng pagtaas ng teknikal na pagiging sopistikado.

Palihim na Entry: Script Injection at Traffic Redirection

Ang campaign, na aktibo mula noong Mayo 2025, ay nagsisimula sa mga nakompromisong website na na-inject ng isang mukhang benign na single-line na JavaScript snippet na nakabaon sa HTML code. Ang script na ito ay gumagana bilang isang traffic distribution system (TDS), na gumagamit ng IP-based na pag-filter upang i-redirect ang mga naka-target na bisita sa mga pekeng pahina ng pag-verify ng CAPTCHA. Ang mga mapanlinlang na page na ito ay umaasa sa mga pang-akit na nakabatay sa ClickFix upang linlangin ang mga user na magsagawa ng mga nakakahamak na PowerShell script. Ang resulta ay ang pag-install ng Interlock RAT, na nagbibigay sa mga umaatake ng isang foothold sa sistema ng biktima.

FileFix: Isang Weaponized Delivery Innovation

Ang pinakabagong mga kampanyang naobserbahan noong Hunyo 2025 ay nagpapakita ng paggamit ng FileFix, isang mas advanced na bersyon ng ClickFix, bilang pangunahing vector ng impeksyon. Sinasamantala ng FileFix ang address bar ng Windows File Explorer sa socially engineer na mga user sa pagpapatakbo ng mga malisyosong command. Orihinal na ipinakita bilang isang proof-of-concept noong Hunyo 2025, ang FileFix ay pinaandar na ngayon upang ipamahagi ang PHP variant ng Interlock RAT, at sa ilang mga kaso, ang deployment na ito ay nagsisilbing pasimula sa pag-install ng mas tradisyonal na variant na batay sa Node.js.

Mga Multi-Stage Payload at Stealth Capabilities

Kapag na-deploy na, sinisimulan ng Interlock RAT ang host reconnaissance at pag-exfiltrate ng impormasyon ng system sa JSON format. Sinusuri nito ang mga antas ng pribilehiyo (USER, ADMIN, o SYSTEM) at nagtatatag ng contact sa isang remote command-and-control (C2) server. Ang mga karagdagang payload, alinman sa EXE o DLL na mga file, ay kinukuha para sa pagpapatupad.

  • Ang mga mekanismo ng pagtitiyaga ay kinabibilangan ng:
  • Pagbabago sa Windows Registry para mapanatili ang startup execution.
  • Paganahin ang lateral movement sa pamamagitan ng Remote Desktop Protocol (RDP) access.

Bukod dito, ang isang kapansin-pansing pamamaraan ng pag-iwas ay kinabibilangan ng paggamit ng mga subdomain ng Cloudflare Tunnel, na tinatago ang aktwal na lokasyon ng C2 server. Ang mga hard-coded na IP address ay nagsisilbing backup upang mapanatili ang pagkakakonekta kung ang mga tunnel ay maabala.

Pagsubaybay sa Banta: Mga Nakaraang Target at Kasalukuyang Motibo

Mas maaga noong 2025, nasangkot ang Interlock RAT sa mga pag-atake sa lokal na pamahalaan at mga institusyong pang-edukasyon sa UK, na ginagamit ang variant ng Node.js. Gayunpaman, ang kamakailang paglilipat sa PHP, isang karaniwang wika sa pagbuo ng web, ay nagmumungkahi ng mas oportunistikong diskarte na nagta-target ng mas malawak na hanay ng mga industriya. Ang paglipat sa PHP ay nagpapahiwatig ng isang taktikal na desisyon upang palawakin ang mga vector ng impeksyon, na posibleng pagsasamantala sa mga masusugatan na imprastraktura na nakabatay sa web.

Mga Pangunahing Tagapagpahiwatig ng Kampanya

Ang mga biktima at mga operatiba ng cybersecurity ay dapat maging alerto sa mga sumusunod na palatandaan ng mga pinakabagong operasyon ng Interlock:

Initial Attack Vector:

  • Mga single-line na JavaScript injection sa mga lehitimong ngunit nakompromiso na mga website.
  • Pag-redirect sa mga pekeng pahina ng CAPTCHA gamit ang IP filtering.

Pag-uugali ng Malware Pagkatapos ng Impeksyon:

  • Host reconnaissance at JSON-formatted system info exfiltration.
  • Mga pagsusuri sa pribilehiyo at malayuang pagpapatupad ng kargamento.
  • Pagtitiyaga na nakabatay sa rehistro at pagsasamantala sa RDP para sa paggalaw.

Konklusyon: Ang Lumalagong Profile ng Banta ng Interlock Group

Ang paglitaw ng PHP variant ng Interlock RAT ay nagpapakita ng lumalagong versatility at layunin ng grupo na manatiling nangunguna sa mga panlaban na hakbang. Sa pamamagitan ng paggamit ng parehong web scripting at mga native na feature ng system, pinapalabo ng mga Interlock attacker ang mga linya sa pagitan ng tradisyonal na paghahatid ng malware at malikhaing pang-aabuso sa mga pang-araw-araw na functionality ng system. Ang mga pangkat ng seguridad ay dapat manatiling mapagbantay at magpatupad ng mga layered na depensa upang makita at harangan ang mga umuusbong na banta.

Trending

Pinaka Nanood

Naglo-load...