26.06.2025
7 хв
1145
Зафіксували нову хвилю кібератак, де група Interlock використовує PHP‑варіант відомого трояна RAT. Шкідливе ПЗ поширюється через оновлений механізм доставки FileFix, заснований на маніпуляції із адресним рядком Windows. Мета — широкий спектр індустрій, від держструктур до бізнесу.
Згідно з аналізом від The DFIR Report і Proofpoint, атаки тривають з травня 2025 року. Кампанія починається з впровадження JavaScript-коду в HTML скомпрометованих сайтів, який перенаправляє жертв на фальшиві CAPTCHA-сторінки.
Ці сторінки активують FileFix — техніку, що змушує користувача скопіювати та виконати команду в адресному рядку File Explorer. У результаті запускається PowerShell-скрипт, що доставляє Interlock RAT — спочатку у вигляді PHP-файлу, а іноді згодом як Node.js-варіант.
Ключові особливості трояна:
Витягує системну інформацію у форматі JSON;
Перевіряє рівень прав (USER / ADMIN / SYSTEM);
Завантажує додаткові EXE або DLL-файли з віддаленого сервера;
Створює постійну присутність через реєстр Windows;
Використовує RDP для латерального переміщення в мережі;
Ховає свою інфраструктуру за Cloudflare Tunnel, маючи запасні IP-адреси як резерв.
Група Interlock була вперше помічена на початку 2025 року під час атак на державні органи Великої Британії. Їхній основний інструмент — NodeSnake / Interlock RAT, створений на Node.js. У липні кампанія значно еволюціонувала: з’явився PHP-варіант трояна, який легше вбудовувати у веб-сервери й важче виявити.
Також помітне зростання опортуністичних атак — зловмисники не націлюються на конкретні компанії, а атакують усіх, хто підпадає під умови експлуатації FileFix. Цей кейс показує, наскільки швидко адаптуються кіберзлочинці: зловживання інтерфейсом Windows, застосування легітимних сервісів як Cloudflare Tunnel та використання універсальних мов (Node.js, PHP) для збереження доступу. Усі компанії та установи, які мають вебсайти або сервери, повинні звернути увагу на появу нових RAT‑модулів та бути обачними при натисканні на CAPTCHA чи системні діалоги.
