根據 The DFIR Report 與 Proofpoint 的聯合研究,Interlock 勒索軟體集團近期在一場大規模攻擊活動中,針對多家組織部署了一款新型遠端存取木馬(RAT)。
此新型惡意程式於 2025 年 6 月首次被發現,是使用通用 PHP 程式語言開發的,與 Interlock 先前部署的基於 JavaScript 的「NodeSnake」遠端存取木馬明顯不同。
研究人員指出,這個發現凸顯了 Interlock 組織工具的持續演進及其作業的複雜性。先前的 Interlock RAT 利用 Node.js 技術,而
這個新變種則採用 PHP 來取得並維持對受害網路的存取。
Interlock 勒索軟體集團首次被發現於 2024 年下半年活躍。該犯罪組織主要採用雙重勒索策略,同時加密資料並威脅公開資料,除非受害者支付贖金。該組織已被連結到多起針對美國和英國政府機構的攻擊,造成重大資料外洩事件。
新型遠端存取木馬的多功能用途
根據 The DFIR Report 於 7 月 14 日發布的分析報告,
這款新型 RAT 執行後會立即在被入侵系統上展開自動化偵察活動。它透過一系列 PowerShell 指令,以 JSON 格式收集並外洩完整的系統資訊,包括系統詳細規格、執行中的程序與相關服務列表,以及運行中的 Windows 服務。
此惡意程式會檢查自身權限等級(一般使用者、管理員或系統身分),讓攻擊者能迅速掌握入侵環境狀況。接著,該遠端存取木馬會與攻擊者的基礎設施建立指揮控制(C2)通道,並利用合法的 Cloudflare Tunnel 服務來隱藏 C2 伺服器的真實位置。
該惡意程式內建備用 IP 位址,即使 Cloudflare Tunnel 連線失敗,仍能維持與駭客的通訊。其具備多種功能,包括:
- 執行惡意檔案
- 透過在 Windows 登錄檔的「開機啟動」項目中新增記錄來建立持久性駐留
- 執行攻擊者發送的任何 Shell 指令,讓攻擊者取得受害者機器的遠端命令列存取權
- 利用遠端桌面協定(RDP)在網路中橫向移動
- 自行關閉程序
FileFix 技術用於初始入侵
PHP 版 Interlock 遠端存取木馬是該組織更大規模攻擊行動的一部分,此攻擊活動至少從 2025 年 5 月開始活躍。研究人員發現,這波攻擊鎖定多個產業領域,攻擊者主要利用稱為 FileFix 的技術獲取初始存取權限。
FileFix 是
ClickFix 社交工程技術的進階版本,透過偽造的錯誤訊息或驗證提示,誘導受害者複製並執行惡意腳本。兩種技術都依賴說服使用者執行對攻擊者有利的操作,但與使用對話框的方式不同,
FileFix 欺騙使用者將惡意檔案路徑直接貼入 Windows 檔案總管的位址列中。
Interlock 在攻擊活動中入侵網站,並在頁面 HTML 中注入單行隱藏腳本,這種改變通常難被網站擁有者或訪客察覺。
這些連結的 JavaScript 使用嚴格的 IP 過濾機制來投遞惡意載荷。首先,它誘導使用者點擊「驗證您是人類」的驗證碼,接著提供「驗證步驟」,引導使用者開啟執行命令並從剪貼簿貼上內容。當這些內容被貼入執行命令後,系統會觸發 PowerShell 腳本執行,最終導致 Interlock 遠端存取木馬被植入系統。
本文轉載自 InfosecurityMagazine。