Interlock RAT
Кіберзлочинці, що стоять за операцією з вимагачем Interlock, посилюють свої зусилля за допомогою нещодавно розробленого PHP-варіанту свого власного трояна віддаленого доступу (RAT) Interlock RAT, також відомого як NodeSnake. Цю оновлену загрозу було помічено в масштабній кампанії з використанням вдосконаленого механізму доставки під назвою FileFix, відгалуження раніше відомої техніки ClickFix. Ця розробка знаменує собою значний зсув у стратегії атаки групи, розширюючи її охоплення та демонструючи зростаючу технічну досконалість.
Зміст
Прихований вхід: впровадження скриптів та перенаправлення трафіку
Кампанія, яка триває з травня 2025 року, починається з введення на скомпрометовані веб-сайти, на які, здавалося б, нешкідливий однорядковий фрагмент JavaScript, прихований у HTML-коді. Цей скрипт функціонує як система розподілу трафіку (TDS), використовуючи фільтрацію на основі IP-адрес для перенаправлення цільових відвідувачів на підроблені сторінки перевірки CAPTCHA. Ці шахрайські сторінки покладаються на приманки на основі ClickFix, щоб обманом змусити користувачів виконувати шкідливі скрипти PowerShell. Результатом є встановлення Interlock RAT, що надає зловмисникам доступ до системи жертви.
FileFix: Інновація доставки, що перетворюється на зброю
Останні кампанії, що спостерігалися в червні 2025 року, демонструють використання FileFix, більш просунутої версії ClickFix, як основного вектора зараження. FileFix використовує адресний рядок Провідника файлів Windows для соціальної інженерії, змушуючи користувачів виконувати шкідливі команди. Спочатку продемонстрований як пробний варіант у червні 2025 року, FileFix тепер запущено для розповсюдження PHP-варіанта Interlock RAT, і в деяких випадках це розгортання виступає попередником встановлення більш традиційного варіанту на основі Node.js.
Багатоступеневі корисні навантаження та можливості малопомітності
Після розгортання Interlock RAT ініціює розвідку хоста та вилучення системної інформації у форматі JSON. Він перевіряє рівні привілеїв (USER, ADMIN або SYSTEM) та встановлює зв'язок з віддаленим сервером командування та управління (C2). Додаткові корисні навантаження, EXE- або DLL-файли, завантажуються для виконання.
- Механізми стійкості включають:
- Зміна реєстру Windows для підтримки виконання автозавантаження.
- Увімкнення горизонтального переміщення через доступ за протоколом віддаленого робочого столу (RDP).
Більше того, помітний метод ухилення включає використання субдоменів тунелів Cloudflare, що маскує фактичне місцезнаходження сервера C2. Жорстко закодовані IP-адреси служать резервними копіями для підтримки з'єднання у разі порушення роботи тунелів.
Відстеження загрози: минулі цілі та теперішні мотиви
Раніше у 2025 році Interlock RAT брав участь у атаках на місцеві органи влади та освітні установи у Великій Британії, використовуючи варіант Node.js. Однак нещодавній перехід на PHP, поширену мову веб-розробки, свідчить про більш опортуністичний підхід, спрямований на ширше коло галузей. Перехід на PHP свідчить про тактичне рішення розширити вектори зараження, потенційно використовуючи вразливі веб-інфраструктури.
Ключові показники кампанії
Жертви та фахівці з кібербезпеки повинні бути уважними до наступних ознак останніх операцій Interlock:
Початковий вектор атаки:
- Однорядкові ін'єкції JavaScript на легітимних, але скомпрометованих вебсайтах.
- Перенаправлення на підроблені сторінки CAPTCHA з використанням IP-фільтрації.
Поведінка шкідливого програмного забезпечення після зараження:
- Розвідка хоста та вилучення системної інформації у форматі JSON.
- Перевірка привілеїв та віддалене виконання корисного навантаження.
- Збереження даних на основі реєстру та використання RDP для переміщення.
Висновок: Зростаючий профіль загроз Interlock Group
Поява PHP-варіанта Interlock RAT демонструє зростаючу універсальність групи та її намір випереджати захисні контрзаходи. Використовуючи як веб-скрипти, так і власні системні функції, зловмисники Interlock розмивають межі між традиційною доставкою шкідливого програмного забезпечення та креативним зловживанням повсякденними функціями системи. Команди безпеки повинні залишатися пильними та впроваджувати багаторівневий захист для виявлення та блокування таких загроз, що розвиваються.
