InterlockランサムウェアグループのRAT(リモートアクセス型トロイの木馬)の新バージョンが、ClickFix攻撃の亜種を利用したファイルフィックス攻撃により、侵害されたウェブサイトを通じて配布されていると、セキュリティ研究者が警告しています。
ソーシャルエンジニアリング手法であるClickFixは、ウェブページに悪意のあるコードを注入し、訪問者にアップデートの実行やエラーの解決、人間であることの確認などを装って悪意のあるコードを実行させる手法です。
FileFixはこの攻撃の亜種で、ユーザーにファイルが共有されたことを通知するプロンプトが表示され、ページ上の偽の「ファイルエクスプローラーを開く」ボタンを押すと、自動的にファイルエクスプローラーが起動し、PowerShellコードがクリップボードにコピーされます。
その後、被害者はファイルエクスプローラーのアドレスバーにファイルのパスを貼り付けてEnterキーを押し、共有ファイルを探すよう指示されます。しかし、これにより悪意のあるファイルが実行されることになりますと、セキュリティ研究者のmr.d0xが報告しています。
2025年5月以降、The DFIR ReportとProofpointは、KongTuke(別名LandUpdate808)に関連するInterlock RATの配布活動を観測しています。KongTukeは多段階プロセスと偽のキャプチャ誘導を用いてマルウェア感染を引き起こす高度なトラフィック配信システム(TDS)です。
The DFIR Reportによると、KongTukeによるウェブインジェクションは最近ClickFixからFileFix攻撃へと移行し、6月初旬からInterlock RATのPHPバージョンの配布を開始しました。場合によっては、マルウェアのNode.jsバージョンも配布されました。
実行されると、RATはPowerShellコマンドを使用してシステム情報を収集・流出させるためにシステムのフィンガープリントを開始します。また、ログインユーザーの権限も確認します。
Interlock RAT(NodeSnake RATとの関連が指摘されています)は、実行キーを利用して永続化を確立し、攻撃者がコマンドを送信して実行させることができます。実際、The DFIR Reportは脅威アクターによる手動操作の強い証拠を観測しています。
広告。スクロールして続きをお読みください。
コマンド&コントロール(C&C)通信には、正規のCloudflare Tunnelサービスを悪用し、trycloudflare.comのURLが利用されています。これによりC&Cの隠蔽が図られています。
セキュリティ研究者はまた、侵害された環境内での横移動にRDPが使用されていることも観測しており、攻撃者が複数の業界を標的にしていることから、このキャンペーンは機会主義的である可能性が高いと指摘しています。
「この発見は、Interlockグループのツールの進化と運用の高度化を浮き彫りにしています。Interlock RATのNode.jsバージョンはNode.jsの利用で知られていましたが、今回の亜種は一般的なウェブスクリプト言語であるPHPを活用し、被害者ネットワークへのアクセス獲得と維持を実現しています」とThe DFIR Reportは述べています。
関連記事: 中国のハッカーが中国人ユーザーをRATとルートキットで標的に
関連記事: ランサムウェアグループがKettering Healthのデータを流出と主張
翻訳元: https://www.securityweek.com/new-interlock-rat-variant-distributed-via-filefix-attacks/