- 19,392
- 40
- 8 Ноя 2022
Зловещий NodeSnake научился ползать по PHP — и теперь он ещё опаснее.
В последние месяцы ИБ-специалисты наблюдают всплеск активности группы Interlock, стоящей за вредоносной программой NodeSnake — также известной как Interlock RAT. Согласно Для просмотра ссылки Войдиили Зарегистрируйся The DFIR Report и Proofpoint, с мая 2025 года злоумышленники используют обновлённую инфраструктуру, связанную с киберугрозой LandUpdate808 (также известной под названием KongTuke), и распространяют не только уже известный Node.js-вариант трояна, но и его новую PHP-реализацию.
Атака начинается с заражённых сайтов: на страницы незаметно встраивается однострочный скрипт, который остаётся скрытым как для владельцев ресурсов, так и для обычных пользователей. Этот скрипт запускает систему распределения трафика (TDS), которая фильтрует посетителей по IP-адресам. Те, кто проходит фильтр, перенаправляются на поддельную страницу с проверкой CAPTCHA. Там пользователю предлагается выполнить PowerShell-команду — именно она запускает процесс заражения, ведущий к установке трояна.
Особенность этой кампании — использование механизма FileFix, представляющего собой модифицированный ClickFix. Его работа основывается на уязвимости, позволяющей использовать адресную строку проводника Windows для запуска команд. Концепция FileFix была Для просмотра ссылки Войдиили Зарегистрируйся как proof-of-concept в июне 2025 года независимым исследователем под псевдонимом mrd0x.
Изначально Interlock RAT был построен на Node.js и применялся, например, в атаках на муниципальные и образовательные учреждения Великобритании в начале 2025 года. Однако в июне и июле зафиксированы случаи распространения PHP-варианта. Согласно наблюдениям специалистов, заражение начинается с установки именно этой версии трояна, а затем на машину может быть загружена и классическая Node.js-модификация. Такой подход позволяет злоумышленникам атаковать более широкий круг целей, поскольку PHP-реализация легче встраивается в веб-инфраструктуру.
Вредоносная программа после установки сразу выполняет сбор информации о системе, передавая данные в формате JSON на удалённый сервер. Она проверяет уровень привилегий — пользователь, администратор или системный процесс — и в зависимости от этого загружает дополнительные модули в виде EXE или DLL-файлов. Для сохранения доступа к системе троян изменяет параметры реестра Windows и активирует удалённый рабочий стол (RDP), обеспечивая возможность перемещения внутри корпоративной сети.
Отдельного внимания заслуживает метод маскировки трафика. Interlock RAT использует поддомены Для просмотра ссылки Войдиили Зарегистрируйся , что значительно затрудняет отслеживание и блокировку командных серверов. В случае потери связи через туннель программа обращается к жёстко зашитым IP-адресам — это обеспечивает резервную связность и устойчивость инфраструктуры злоумышленников.
Обнаружение новой PHP-версии указывает на дальнейшее развитие инструментов Interlock и высокую степень адаптивности их подхода. Использование знакомых языков программирования и системных функций делает угрозу универсальной и сложнообнаружимой.
В последние месяцы ИБ-специалисты наблюдают всплеск активности группы Interlock, стоящей за вредоносной программой NodeSnake — также известной как Interlock RAT. Согласно Для просмотра ссылки Войди
Атака начинается с заражённых сайтов: на страницы незаметно встраивается однострочный скрипт, который остаётся скрытым как для владельцев ресурсов, так и для обычных пользователей. Этот скрипт запускает систему распределения трафика (TDS), которая фильтрует посетителей по IP-адресам. Те, кто проходит фильтр, перенаправляются на поддельную страницу с проверкой CAPTCHA. Там пользователю предлагается выполнить PowerShell-команду — именно она запускает процесс заражения, ведущий к установке трояна.
Особенность этой кампании — использование механизма FileFix, представляющего собой модифицированный ClickFix. Его работа основывается на уязвимости, позволяющей использовать адресную строку проводника Windows для запуска команд. Концепция FileFix была Для просмотра ссылки Войди
Изначально Interlock RAT был построен на Node.js и применялся, например, в атаках на муниципальные и образовательные учреждения Великобритании в начале 2025 года. Однако в июне и июле зафиксированы случаи распространения PHP-варианта. Согласно наблюдениям специалистов, заражение начинается с установки именно этой версии трояна, а затем на машину может быть загружена и классическая Node.js-модификация. Такой подход позволяет злоумышленникам атаковать более широкий круг целей, поскольку PHP-реализация легче встраивается в веб-инфраструктуру.
Вредоносная программа после установки сразу выполняет сбор информации о системе, передавая данные в формате JSON на удалённый сервер. Она проверяет уровень привилегий — пользователь, администратор или системный процесс — и в зависимости от этого загружает дополнительные модули в виде EXE или DLL-файлов. Для сохранения доступа к системе троян изменяет параметры реестра Windows и активирует удалённый рабочий стол (RDP), обеспечивая возможность перемещения внутри корпоративной сети.
Отдельного внимания заслуживает метод маскировки трафика. Interlock RAT использует поддомены Для просмотра ссылки Войди
Обнаружение новой PHP-версии указывает на дальнейшее развитие инструментов Interlock и высокую степень адаптивности их подхода. Использование знакомых языков программирования и системных функций делает угрозу универсальной и сложнообнаружимой.
- Источник новости
- www.securitylab.ru
