Interlock RAT
Interlock 勒索軟體背後的網路犯罪分子正在升級其攻擊活動,利用其自訂遠端存取木馬 (RAT) Interlock RAT(也稱為 NodeSnake)新開發的 PHP 變種。該升級威脅已被觀察到在廣泛的攻擊活動中使用一種名為 FileFix 的改進型傳播機制,該機制是先前已知的 ClickFix 技術的分支。這項進展標誌著該組織攻擊策略的重大轉變,擴大了其攻擊範圍,並展現出日益複雜的技術。
目錄
隱身進入:腳本注入與流量重定向
該攻擊活動自 2025 年 5 月起活躍,首先在受感染的網站上註入一段隱藏在 HTML 程式碼中的看似無害的單行 JavaScript 程式碼片段。該腳本可作為流量分配系統 (TDS),利用基於 IP 的過濾機制,將目標訪客重新導向到虛假的 CAPTCHA 驗證頁面。這些詐騙頁面依賴基於 ClickFix 的誘餌誘騙使用者執行惡意的 PowerShell 腳本。最終導致 Interlock RAT 的安裝,使攻擊者得以在受害者係統中立足。
FileFix:武器化的交付創新
2025 年 6 月觀察到的最新攻擊活動展示了使用 FileFix(ClickFix 的更高級版本)作為核心感染媒介的情況。 FileFix 利用 Windows 檔案總管的網址列對使用者進行社交工程,使其執行惡意命令。 FileFix 最初於 2025 年 6 月作為概念驗證進行演示,現已投入使用,用於分發 Interlock RAT 的 PHP 變種,在某些情況下,此部署是安裝更傳統的基於 Node.js 的變種的前兆。
多級有效載荷和隱身能力
部署後,Interlock RAT 會啟動主機偵察並以 JSON 格式竊取系統資訊。它會檢查權限等級(使用者、管理員或系統),並與遠端命令與控制 (C2) 伺服器建立連線。隨後,系統會取得其他有效載荷(EXE 或 DLL 檔案)並執行。
- 持久性機制包括:
- 修改 Windows 登錄以維持啟動執行。
- 透過遠端桌面協定 (RDP) 存取實現橫向移動。
此外,一種值得注意的規避技術涉及使用 Cloudflare Tunnel 子域名,從而掩蓋 C2 伺服器的實際位置。硬編碼的 IP 位址可作為備份,以便在隧道中斷時維持連線。
追蹤威脅:過去的目標和當前的動機
早在2025年,Interlock RAT就利用Node.js變種攻擊了英國的地方政府和教育機構。然而,最近它轉向了常見的Web開發語言PHP,這表明其採取了一種更具投機性的攻擊方式,瞄準了更廣泛的行業。向PHP的過渡表明了一種擴大感染媒介的戰術決策,可能利用脆弱的Web基礎設施。
活動關鍵指標
受害者和網路安全人員應警惕 Interlock 最新行動的以下特點:
初始攻擊向量:
- 在合法但受到攻擊的網站上註入單行 JavaScript。
- 使用 IP 過濾重定向到虛假 CAPTCHA 頁面。
感染後的惡意軟體行為:
- 主機偵察和 JSON 格式的系統資訊外洩。
- 權限檢查和遠端有效載荷執行。
- 基於註冊表的持久性和 RDP 利用實現移動。
結論:Interlock 組織的威脅日益嚴重
Interlock RAT PHP 變種的出現表明該組織日益增長的多功能性,以及其領先於防禦措施的意圖。透過利用 Web 腳本和原生系統功能,Interlock 攻擊者正在模糊傳統惡意軟體傳播方式與日常系統功能濫用之間的界線。安全團隊應保持警惕,並實施分層防禦措施,以偵測和阻止此類不斷演變的威脅。
