Interlockランサムウェアグループが、新たなリモートアクセス型トロイの木馬(RAT)を用いて組織を標的とした大規模なキャンペーンを展開していることが、The DFIR ReportとProofpointの共同研究者によって確認されました。
2025年6月以降に観測されたこの新しいマルウェアは、汎用のPHPプログラミング言語を使用しています。これは、Interlockが以前に展開していたJavaScriptベースの「NodeSnake」RATとは異なります。
一部のケースでは、Interlock RATのPHPバージョンの展開後にNode.jsバージョンが展開されることもあります。
PHPは一般的なWebスクリプト言語であり、さまざまなプラットフォームやデータベースで利用できます。
「この発見は、Interlockグループのツールの進化と運用の高度化を浮き彫りにしています。Interlock RATのNode.jsバージョンはNode.jsの利用で知られていましたが、このバージョンは一般的なWebスクリプト言語であるPHPを活用し、被害者ネットワークへのアクセスの獲得と維持を図っています」と研究者らは述べています。
Interlockランサムウェアグループは、2024年後半に初めて活動が確認されました。この犯罪グループは主に二重脅迫戦術を用いており、データを暗号化すると同時に、恐喝要求が支払われない場合はデータを公開すると脅迫します。
同グループは米国や英国の政府機関に対する複数の攻撃にも関与しており、重大なデータ漏洩を引き起こしています。
新たなRAT、多様な機能に利用
7月14日に公開されたThe DFIR Reportによる分析によると、新しいRATバージョンは実行されると直ちに侵害されたシステムの自動偵察を行います。
そのために、一連のPowerShellコマンドを使用して、包括的なシステムプロファイルをJSONデータとして収集・流出させます。収集される情報には、詳細なシステム仕様、すべての実行中のプロセスと関連サービス、実行中のWindowsサービスのリストが含まれます。
マルウェアはまた、自身の権限レベル(ユーザー、管理者、システム)を確認し、攻撃者が侵害の状況を即座に把握できるようにします。
その後、RATは攻撃者のインフラストラクチャとコマンド&コントロールチャネルを確立し、正規のCloudflare Tunnelサービスを悪用してC2サーバーの本当の位置を隠します。
マルウェアには、Cloudflare Tunnelが妨害された場合でも通信を維持できるよう、ハードコードされたフォールバックIPアドレスが含まれています。
本マルウェアは、以下を含むさまざまなコマンドを実行可能です:
- 悪意のあるファイルの実行
- Windowsレジストリの「Run」キーにエントリを追加して永続化を図る
- 攻撃者が送信した任意のシェルコマンドを実行し、被害者マシン上でリモートコマンドプロンプトを提供
- リモートデスクトッププロトコル(RDP)を使用して横移動
- 自身をシャットダウンする
初期アクセス獲得にFileFix手法を利用
PHP版Interlock RATは、少なくとも2025年5月から活動しているより広範なInterlockキャンペーンの一部として観測されました。
研究者によると、このキャンペーンは幅広い業界を標的としています。
攻撃者はFileFixと呼ばれる手法を利用して初期アクセスを獲得します。
FileFixは、偽のエラーや認証メッセージを使って被害者に悪意のあるスクリプトをコピー&ペーストさせて実行させるClickFixというソーシャルエンジニアリング手法の進化版です。
どちらの手法も、ユーザー自身に攻撃を実行させることに依存しています。しかし、FileFixではダイアログボックスを使うのではなく、ユーザーを騙して悪意のあるファイルパスをWindowsエクスプローラーのアドレスバーに貼り付けさせます。
Interlockキャンペーンでは、ページのHTML内に隠された1行のスクリプトを注入した侵害済みウェブサイトが利用されており、サイトの所有者や訪問者が気付かないことも多いです。
リンクされたJavaScriptは厳重なIPフィルタリングを用いてペイロードを配信し、まず「あなたが人間であることを確認してください」とキャプチャをクリックさせ、その後「認証手順」として実行コマンドを開き、クリップボードから貼り付けるよう促します。
実行コマンドに貼り付けるとPowerShellスクリプトが実行され、最終的にInterlock RATが展開されます。
翻訳元: https://www.infosecurity-magazine.com/news/interlock-ransomware-new-rat/