Web注入攻击活动推出新型Interlock RAT变种

一项持续进行的网络威胁活动正在使用属于勒索软件组织Interlock的强化版远程访问木马（RAT），通过合法网站向受害者注入恶意软件以获取设备控制权。

威胁情报公司The DFIR Report今日发布了关于Interlock RAT新变种的研究报告。Interlock是去年10月首次出现的勒索软件组织，以其双重勒索策略闻名，即威胁行为者既加密受害者数据，又威胁如果受害者不支付赎金就泄露数据。该团伙此前曾攻击过多个组织，例如去年秋天德克萨斯理工大学在拉伯克和埃尔帕索的健康科学中心。

Quorum Cyber今年春季曾详细介绍了Interlock RAT的两个变种，并将其追踪为NodeSnake。变种"A"被描述为更"典型"的RAT，重点在于持久访问、侦察、命令与控制通信以及次要有效载荷。变种"B"则更为先进，具有增强的有效载荷能力和自适应C2通信。

The DFIR Report今日分享的迭代版本包含进一步改进，并与近期广泛的威胁活动相关联。

Interlock不再使用JavaScript

最新版本的Interlock RAT在多个方面与先前变种有重大转变，部分原因是其从JavaScript转向PHP。The DFIR Report的发言人告诉Dark Reading，PHP后门可能"容易被忽视"，并提供更隐蔽的立足点。

“这一发现突显了Interlock组织工具的持续演进及其操作复杂性，“The DFIR Report在其研究博客中表示。“虽然Interlock RAT的Node.js变种以其使用Node.js而闻名，但这个变种利用常见的Web脚本语言PHP来获取和维护对受害者网络的访问。”

研究人员将该RAT与一个被追踪为"KongTuke"的广泛Web注入威胁集群联系起来。在此活动中，访问者访问被入侵的网站，该网站的HTML中注入了恶意的单行脚本。访问者被指示通过点击CAPTCHA、打开运行命令并从剪贴板粘贴恶意指令来"验证"自己。“如果粘贴到运行命令中，它将执行一个PowerShell脚本，最终导致Interlock RAT，“The DFIR Report的研究人员解释道。

Proofpoint的员工威胁研究员兼情报分析与策略主管Selena Larson告诉Dark Reading，KongTuke活动使用其他合法的网站来针对访问者，而不是使用新制作的虚假网站，这与其他社交工程活动中常见的情况不同。

自动化侦察与持久化

一旦最终用户执行命令，Interlock RAT立即开始对受害者机器进行自动化侦察。

“它使用一系列PowerShell命令收集并以JSON数据形式外泄全面的系统配置文件。收集的信息包括详细的系统规格（systeminfo）、所有运行进程和相关服务的列表（tasklist）、运行的Windows服务（Get-Service）、所有挂载的驱动器（Get-PSDrive）以及通过ARP表（Get-NetNeighbor）获取的本地网络邻居，“研究报告写道。“恶意软件还检查其自身的权限级别，以确定是以USER、ADMIN还是SYSTEM身份运行，使威胁行为者能够立即了解入侵的背景。”

威胁行为者随后建立强大的命令与控制（C2）基础设施，使用RDP对受害者进行手动横向移动，并建立持久性。对于C2，威胁行为者滥用了合法的CloudFlare隧道服务——这是攻击者越来越流行的策略。

广泛的攻击目标

关于受害者特征，The DFIR Report的发言人在电子邮件中告诉Dark Reading，目标似乎是机会主义的而非选择性的。

“我们观察到美国多个行业的多名受害者。初始访问向量严重依赖社交工程，诱骗用户执行Interlock RAT。该有效载荷本身并非针对特定目标——更像是撒网捕鱼，“发言人表示。“这种机会主义模式使他们能够广泛撒网，并根据感知的数据/系统价值或可访问性选择性参与。”

至于防御建议，DFIR Report发言人表示，组织和个人应强调网络钓鱼意识（特别是围绕ClickFix式诱饵），尽可能阻止或限制Win + R键组合（打开运行对话框），并在整个组织中实施最小权限/多因素认证。组织还应将RDP限制为仅授权用户。

The DFIR Report与Proofpoint合作发布的研究包括入侵指标。