Interlock RAT
Interlock 勒索软件背后的网络犯罪分子正在升级其攻击活动,利用其自定义远程访问木马 (RAT) Interlock RAT(也称为 NodeSnake)新开发的 PHP 变种。该升级威胁已被观察到在一场广泛的攻击活动中使用一种名为 FileFix 的改进型传播机制,该机制是之前已知的 ClickFix 技术的分支。这一进展标志着该组织攻击策略的重大转变,扩大了其攻击范围,并展现出日益复杂的技术。
目录
隐身进入:脚本注入和流量重定向
该攻击活动自 2025 年 5 月起活跃,首先在受感染的网站上注入一段隐藏在 HTML 代码中的看似无害的单行 JavaScript 代码片段。该脚本充当流量分配系统 (TDS),利用基于 IP 的过滤机制,将目标访问者重定向到虚假的 CAPTCHA 验证页面。这些欺诈页面依赖基于 ClickFix 的诱饵诱骗用户执行恶意的 PowerShell 脚本。最终导致 Interlock RAT 的安装,使攻击者得以在受害者系统中立足。
FileFix:武器化的交付创新
2025 年 6 月观察到的最新攻击活动展示了使用 FileFix(ClickFix 的更高级版本)作为核心感染媒介的情况。FileFix 利用 Windows 文件资源管理器的地址栏对用户进行社交工程,使其运行恶意命令。FileFix 最初于 2025 年 6 月作为概念验证进行演示,现已投入使用,用于分发 Interlock RAT 的 PHP 变种,在某些情况下,此部署是安装更传统的基于 Node.js 的变种的前兆。
多级有效载荷和隐身能力
部署后,Interlock RAT 会启动主机侦察并以 JSON 格式窃取系统信息。它会检查权限级别(用户、管理员或系统),并与远程命令与控制 (C2) 服务器建立连接。随后,系统会获取其他有效载荷(EXE 或 DLL 文件)并执行。
- 持久性机制包括:
- 修改 Windows 注册表以维持启动执行。
- 通过远程桌面协议 (RDP) 访问实现横向移动。
此外,一种值得注意的规避技术涉及使用 Cloudflare Tunnel 子域名,从而掩盖 C2 服务器的实际位置。硬编码的 IP 地址可作为备份,以便在隧道中断时维持连接。
追踪威胁:过去的目标和当前的动机
早在2025年,Interlock RAT就利用Node.js变种攻击了英国的地方政府和教育机构。然而,最近它转向了常见的Web开发语言PHP,这表明其采取了一种更具投机性的攻击方式,瞄准了更广泛的行业。向PHP的过渡表明了一种扩大感染媒介的战术决策,可能会利用脆弱的Web基础设施。
活动关键指标
受害者和网络安全人员应警惕 Interlock 最新行动的以下特点:
初始攻击向量:
- 在合法但受到攻击的网站上注入单行 JavaScript。
- 使用 IP 过滤重定向到虚假 CAPTCHA 页面。
感染后的恶意软件行为:
- 主机侦察和 JSON 格式的系统信息泄露。
- 权限检查和远程有效载荷执行。
- 基于注册表的持久性和 RDP 利用实现移动。
结论:Interlock 组织的威胁日益严重
Interlock RAT PHP 变种的出现表明该组织日益增长的多功能性,以及其领先于防御措施的意图。通过利用 Web 脚本和原生系统功能,Interlock 攻击者正在模糊传统恶意软件传播方式与日常系统功能滥用之间的界限。安全团队应保持警惕,并实施分层防御措施,以检测和阻止此类不断演变的威胁。
