Báo giá giảm giá nhiều giấy phép
Cơ sở dữ liệu về mối đe dọa Công cụ quản lý từ xa Interlock RAT

Interlock RAT

Đến năm Mezo năm Công cụ quản lý từ xa, Mối đe dọa dai dẳng nâng cao (APT), Phần mềm tống tiền
Dịch sang:

Tội phạm mạng đứng sau chiến dịch tống tiền Interlock đang gia tăng nỗ lực với một biến thể PHP mới được phát triển của trojan truy cập từ xa (RAT) tùy chỉnh của chúng, Interlock RAT, còn được gọi là NodeSnake. Mối đe dọa nâng cấp này đã được phát hiện trong một chiến dịch rộng rãi sử dụng cơ chế phân phối được cải tiến có tên là FileFix, một nhánh của kỹ thuật ClickFix đã biết trước đó. Sự phát triển này đánh dấu một bước chuyển đáng kể trong chiến lược tấn công của nhóm, mở rộng phạm vi hoạt động và cho thấy sự tinh vi về mặt kỹ thuật ngày càng tăng.

Stealthy Entry: Chèn tập lệnh và chuyển hướng lưu lượng truy cập

Chiến dịch này, hoạt động từ tháng 5 năm 2025, bắt đầu bằng việc các trang web bị xâm nhập được chèn một đoạn mã JavaScript đơn dòng có vẻ vô hại ẩn trong mã HTML. Đoạn mã này hoạt động như một hệ thống phân phối lưu lượng truy cập (TDS), sử dụng bộ lọc dựa trên IP để chuyển hướng khách truy cập mục tiêu đến các trang xác minh CAPTCHA giả mạo. Các trang web lừa đảo này dựa vào các mồi nhử dựa trên ClickFix để lừa người dùng thực thi các đoạn mã PowerShell độc hại. Kết quả là Interlock RAT được cài đặt, cho phép kẻ tấn công xâm nhập vào hệ thống của nạn nhân.

FileFix: Một sáng kiến giao hàng vũ khí hóa

Các chiến dịch mới nhất được quan sát vào tháng 6 năm 2025 cho thấy FileFix, một phiên bản nâng cao hơn của ClickFix, được sử dụng làm vectơ lây nhiễm cốt lõi. FileFix khai thác thanh địa chỉ của Windows File Explorer để lừa người dùng chạy các lệnh độc hại. Ban đầu được chứng minh là một bằng chứng khái niệm vào tháng 6 năm 2025, FileFix hiện đã được triển khai để phân phối biến thể PHP của Interlock RAT, và trong một số trường hợp, việc triển khai này đóng vai trò là tiền thân cho việc cài đặt biến thể dựa trên Node.js truyền thống hơn.

Tải trọng nhiều tầng và khả năng tàng hình

Sau khi triển khai, Interlock RAT khởi tạo quá trình do thám máy chủ và đánh cắp thông tin hệ thống ở định dạng JSON. Nó kiểm tra các cấp đặc quyền (NGƯỜI DÙNG, QUẢN TRỊ VIÊN hoặc HỆ THỐNG) và thiết lập liên lạc với máy chủ chỉ huy và điều khiển (C2) từ xa. Các tải trọng bổ sung, dưới dạng tệp EXE hoặc DLL, sẽ được tải xuống để thực thi.

  • Cơ chế duy trì bao gồm:
  • Sửa đổi Windows Registry để duy trì quá trình khởi động.
  • Cho phép di chuyển ngang thông qua quyền truy cập Giao thức máy tính từ xa (RDP).

Hơn nữa, một kỹ thuật né tránh đáng chú ý liên quan đến việc sử dụng tên miền phụ Cloudflare Tunnel, che giấu vị trí thực tế của máy chủ C2. Địa chỉ IP được mã hóa cứng đóng vai trò là bản sao lưu để duy trì kết nối nếu đường hầm bị gián đoạn.

Theo dõi mối đe dọa: Mục tiêu trong quá khứ và động cơ hiện tại

Đầu năm 2025, Interlock RAT đã tham gia vào các cuộc tấn công vào chính quyền địa phương và các cơ sở giáo dục ở Anh, lợi dụng biến thể Node.js. Tuy nhiên, việc chuyển sang PHP, một ngôn ngữ phát triển web phổ biến, gần đây cho thấy một cách tiếp cận mang tính cơ hội hơn, nhắm vào nhiều ngành nghề hơn. Việc chuyển đổi sang PHP cho thấy một quyết định chiến thuật nhằm mở rộng các hướng lây nhiễm, có khả năng khai thác các cơ sở hạ tầng web dễ bị tấn công.

Các chỉ số chính của chiến dịch

Nạn nhân và các chuyên gia an ninh mạng nên cảnh giác với những dấu hiệu sau đây trong các hoạt động mới nhất của Interlock:

Hướng tấn công ban đầu:

  • Chèn mã JavaScript vào một dòng trên các trang web hợp pháp nhưng bị xâm phạm.
  • Chuyển hướng đến các trang CAPTCHA giả mạo bằng cách lọc IP.

Hành vi của phần mềm độc hại sau khi bị nhiễm:

  • Tiến hành do thám máy chủ và đánh cắp thông tin hệ thống theo định dạng JSON.
  • Kiểm tra đặc quyền và thực thi tải trọng từ xa.
  • Tính bền vững dựa trên sổ đăng ký và khai thác RDP để di chuyển.

Kết luận: Hồ sơ đe dọa ngày càng tăng của Interlock Group

Sự xuất hiện của biến thể PHP của Interlock RAT cho thấy tính linh hoạt ngày càng tăng và quyết tâm đi trước các biện pháp phòng thủ của nhóm này. Bằng cách tận dụng cả mã lệnh web và các tính năng hệ thống gốc, những kẻ tấn công Interlock đang làm mờ ranh giới giữa việc phát tán phần mềm độc hại truyền thống và việc lạm dụng sáng tạo các chức năng hệ thống hàng ngày. Các nhóm bảo mật nên luôn cảnh giác và triển khai các biện pháp phòng thủ nhiều lớp để phát hiện và ngăn chặn các mối đe dọa đang phát triển này.

xu hướng

Xem nhiều nhất

Phần mềm độc hại

Lừa đảo, Thư rác
35,768
Thông báo lừa đảo 'Apple Pay Suspended' là một loại chiến thuật lừa đảo nhằm vào người dùng Apple Pay. Thông báo tuyên bố rằng ví Apple Pay của người dùng đã bị treo và khuyến khích họ nhấp vào liên kết để khôi phục ví. Tuy nhiên, nhấp vào liên kết sẽ đưa người dùng đến một trang web giả mạo được thiết kế để đánh cắp thông tin cá nhân và thông tin tài chính của họ. Nếu người dùng trở...
Đang tải...