Interlock RAT

Mezo'de Uzaktan Yönetim Araçları, Gelişmiş Sürekli Tehdit (APT), Fidye yazılımı'de

Çevir:

Interlock fidye yazılımı operasyonunun arkasındaki siber suçlular, özel uzaktan erişim trojanlarının (RAT) yeni geliştirilen bir PHP versiyonu olan Interlock RAT (NodeSnake olarak da bilinir) ile çalışmalarını artırıyor. Bu gelişmiş tehdit, daha önce bilinen ClickFix tekniğinin bir uzantısı olan FileFix adlı gelişmiş bir dağıtım mekanizması kullanan yaygın bir saldırıda gözlemlendi. Bu gelişme, grubun saldırı stratejisinde önemli bir değişikliğe işaret ediyor, etki alanını genişletiyor ve artan teknik gelişmişlik gösteriyor.

İçindekiler

Gizli Giriş: Komut Dosyası Enjeksiyonu ve Trafik Yönlendirmesi

Mayıs 2025'ten beri devam eden kampanya, ele geçirilmiş web sitelerine HTML koduna gömülü, görünüşte zararsız tek satırlık bir JavaScript kodu enjekte edilmesiyle başlıyor. Bu komut dosyası, hedeflenen ziyaretçileri sahte CAPTCHA doğrulama sayfalarına yönlendirmek için IP tabanlı filtreleme kullanan bir trafik dağıtım sistemi (TDS) işlevi görüyor. Bu sahte sayfalar, kullanıcıları kötü amaçlı PowerShell komut dosyalarını çalıştırmaya yönlendirmek için ClickFix tabanlı tuzaklara güveniyor. Sonuç olarak, saldırganlara kurbanın sisteminde bir yer edinme olanağı sağlayan Interlock RAT yükleniyor.

FileFix: Silahlandırılmış Bir Teslimat İnovasyonu

Haziran 2025'te gözlemlenen en son kampanyalar, ClickFix'in daha gelişmiş bir sürümü olan FileFix'in temel bulaşma vektörü olarak kullanıldığını göstermektedir. FileFix, kullanıcıları kötü amaçlı komutlar çalıştırmaya yönlendirmek için Windows Dosya Gezgini'nin adres çubuğunu kullanır. İlk olarak Haziran 2025'te bir kavram kanıtı olarak gösterilen FileFix, artık Interlock RAT'ın PHP sürümünü dağıtmak için operasyonel hale getirilmiştir ve bazı durumlarda bu dağıtım, daha geleneksel Node.js tabanlı sürümün kurulumunun öncüsü olarak işlev görmektedir.

Çok Aşamalı Yükler ve Gizli Yetenekler

Interlock RAT, dağıtıldıktan sonra ana bilgisayar keşfini ve sistem bilgilerinin JSON formatında dışarı sızdırılmasını başlatır. Ayrıcalık düzeylerini (KULLANICI, YÖNETİCİ veya SİSTEM) kontrol eder ve bir uzaktan komuta ve kontrol (C2) sunucusuyla bağlantı kurar. EXE veya DLL dosyaları gibi ek yükler, yürütülmek üzere getirilir.

Kalıcılık mekanizmaları şunları içerir:
Başlangıç yürütmesini sürdürmek için Windows Kayıt Defterini değiştirme.
Uzak Masaüstü Protokolü (RDP) erişimi aracılığıyla yanal hareketi etkinleştirme.

Ayrıca, dikkat çekici bir kaçınma tekniği, C2 sunucusunun gerçek konumunu maskeleyen Cloudflare Tünel alt alan adlarının kullanımını içerir. Sabit kodlanmış IP adresleri, tüneller kesintiye uğrarsa bağlantıyı sürdürmek için yedek görevi görür.

Tehditleri Takip Etmek: Geçmiş Hedefler ve Mevcut Nedenler

Interlock RAT, 2025'in başlarında, Node.js varyantını kullanarak Birleşik Krallık'taki yerel yönetim ve eğitim kurumlarına yönelik saldırılarda bulunmuştu. Ancak, yaygın bir web geliştirme dili olan PHP'ye geçiş, daha geniş bir sektör yelpazesini hedefleyen daha fırsatçı bir yaklaşıma işaret ediyor. PHP'ye geçiş, potansiyel olarak savunmasız web tabanlı altyapıları istismar ederek enfeksiyon vektörlerini genişletme yönünde taktiksel bir karara işaret ediyor.

Kampanyanın Temel Göstergeleri

Mağdurlar ve siber güvenlik görevlileri, Interlock'un son operasyonlarının aşağıdaki özelliklerine karşı dikkatli olmalıdır:

İlk Saldırı Vektörü:

Meşru ancak tehlikeye atılmış web sitelerine tek satırlık JavaScript enjeksiyonları.
IP filtrelemesi kullanılarak sahte CAPTCHA sayfalarına yönlendirme.

Kötü Amaçlı Yazılımın Enfeksiyon Sonrası Davranışı:

Ana bilgisayar keşfi ve JSON formatlı sistem bilgisi sızdırma.
Ayrıcalık kontrolleri ve uzaktan yük yürütme.
Kayıt tabanlı kalıcılık ve hareket için RDP kullanımı.

Sonuç: Interlock Group’un Artan Tehdit Profili

Interlock RAT'ın PHP versiyonunun ortaya çıkışı, grubun artan çok yönlülüğünü ve savunma önlemlerinin önünde kalma niyetini göstermektedir. Interlock saldırganları, hem web betikleme hem de yerel sistem özelliklerini kullanarak, geleneksel kötü amaçlı yazılım dağıtımı ile günlük sistem işlevlerinin yaratıcı bir şekilde kötüye kullanımı arasındaki çizgiyi belirsizleştirmektedir. Güvenlik ekipleri, bu tür gelişen tehditleri tespit edip engellemek için tetikte olmalı ve katmanlı savunmalar uygulamalıdır.

EnigmaSoft'un Ödeme İşlemcisi Digital River GmbH'nin İflas Başvurusunda Bulunması SpyHunter Müşterilerinin Kötü Amaçlı Yazılımlara Karşı Korumasını Etkilemiyor

Ara

Bölge değiştir

Interlock RAT

Gizli Giriş: Komut Dosyası Enjeksiyonu ve Trafik Yönlendirmesi

FileFix: Silahlandırılmış Bir Teslimat İnovasyonu

Çok Aşamalı Yükler ve Gizli Yetenekler

Tehditleri Takip Etmek: Geçmiş Hedefler ve Mevcut Nedenler

Kampanyanın Temel Göstergeleri

Sonuç: Interlock Group’un Artan Tehdit Profili

Yorum Gönder

trend

Gerolax Kripto Dolandırıcılığı

Sipariş Yerleştirme Dolandırıcılığı

Wild Nature

En çok görüntülenen

'Yazıcı Sürücüsü Kullanılamıyor' Hatası Nasıl Onarılır

Discord Ekranı Paylaşırken Siyah Ekran Görüyor

Discord Gri Ekranda Takılıyor