Biến thể Interlock RAT dựa trên PHP: Một Sự Tiến Hóa Trong Tấn Công Mạng
Các nhà nghiên cứu từ The DFIR Report, với sự hợp tác của Proofpoint, đã phát hiện ra một biến thể RAT (Remote Access Trojan) mới của nhóm ransomware Interlock. Biến thể này dựa trên PHP và cho thấy khả năng phục hồi đáng kể, đánh dấu một sự phát triển đáng chú ý từ phiên bản NodeSnake trước đây vốn dựa trên JavaScript.
Biến thể PHP này đã được quan sát trong các chiến dịch liên quan đến cụm mối đe dọa LandUpdate808, còn được biết đến với tên gọi KongTuke. Nhóm này đã hoạt động từ tháng 5 năm 2025, lợi dụng các trang web bị xâm nhập để phân phối các payload độc hại.
Chuỗi Lây Nhiễm Ban Đầu
Quá trình lây nhiễm bắt đầu bằng một script một dòng được tiêm vào mã HTML của trang web. Script này thường không bị phát hiện bởi chủ sở hữu trang web hoặc khách truy cập. Nó sử dụng cơ chế lọc IP nghiêm ngặt để chọn lọc phân phối payload JavaScript.
Script này lừa người dùng xác minh danh tính của họ thông qua một lời nhắc captcha. Sau khi xác minh, nạn nhân được hướng dẫn dán nội dung clipboard vào hộp thoại Windows Run. Hành động này cuối cùng sẽ thực thi một script PowerShell, từ đó triển khai Interlock RAT.
Proofpoint đã theo dõi cả hai biến thể Node.js và PHP của Interlock RAT. Biến thể PHP lần đầu tiên xuất hiện vào tháng 6 năm 2025. Các quan sát gần đây cho thấy một sự chuyển đổi sang cơ chế phân phối FileFix để triển khai PHP RAT. Trong một số trường hợp, PHP RAT có thể leo thang lên phiên bản Node.js để đạt được mức độ kiên trì sâu hơn trong mạng lưới bị tấn công.
Kỹ Thuật Thực Thi và Do Thám Hệ Thống
Biến thể PHP của Interlock RAT thể hiện các kỹ thuật thực thi tiên tiến. Nó được khởi tạo từ các lệnh PowerShell, vốn gọi một tệp thực thi PHP trong thư mục AppData\Roaming của người dùng. Lệnh này bao gồm các đối số đáng ngờ, chẳng hạn như tải tiện ích mở rộng ZIP và sử dụng một tệp cấu hình không theo tiêu chuẩn.
Cấu hình này cho phép RAT tự động khám phá và thu thập thông tin về hệ thống bị xâm nhập một cách nhanh chóng. Nó sử dụng PowerShell để thu thập dữ liệu ở định dạng JSON về các thông số kỹ thuật của hệ thống. Các lệnh PowerShell được sử dụng trong giai đoạn này bao gồm:
systeminfo: Để thu thập chi tiết cấu hình hệ thống.tasklist: Liệt kê các tiến trình đang chạy.Get-Service: Liệt kê các dịch vụ đang chạy.Get-PSDrive: Hiển thị các ổ đĩa được gắn kết.Get-NetNeighbor: Thu thập chi tiết mạng cục bộ từ bảng ARP.
RAT cũng đánh giá cấp độ đặc quyền của nó, phân biệt giữa ngữ cảnh USER, ADMIN hoặc SYSTEM. Điều này cung cấp cho kẻ tấn công nhận thức tình huống ngay lập tức về môi trường mục tiêu.
Hoạt Động Tương Tác và Do Thám Mở Rộng
Hoạt động trực tiếp trên bàn phím (hands-on keyboard) cho thấy các phiên tương tác, được minh chứng bằng các lệnh truy vấn Active Directory để đếm số lượng máy tính, mô tả người dùng, và chi tiết người dùng domain thông qua lệnh net user. Ngoài ra, RAT thực hiện các tìm kiếm có mục tiêu cho các hệ thống liên quan đến sao lưu như Veeam bằng cách sử dụng các trình tìm kiếm ADSI.
Các hoạt động do thám bổ sung bao gồm:
tasklist: Liệt kê các tiến trình.nltest: Liệt kê các bộ điều khiển domain.whoami: Xác định người dùng hiện tại.- Liệt kê các thư mục trong
AppData.
Cơ Sở Hạ Tầng Command and Control (C2)
Cơ sở hạ tầng Command and Control (C2) của Interlock RAT tận dụng các dịch vụ Cloudflare Tunnel bị lạm dụng thông qua các subdomain trycloudflare.com. Các IP dự phòng được mã hóa cứng đảm bảo tính liên tục của hoạt động nếu các tunnel bị gián đoạn.
Khả Năng Thực Thi và Cơ Chế Kiên Trì của RAT
RAT này hỗ trợ nhiều khả năng thực thi linh hoạt. Nó có thể tải xuống và chạy các tệp EXE hoặc DLL, thiết lập sự kiên trì tự động khởi chạy thông qua sửa đổi registry, thực thi các lệnh CMD tùy ý để truy cập shell từ xa, hoặc tự hủy thông qua lệnh OFF.
Sự kiên trì được đạt được bằng cách thêm các mục nhập khóa Run vào registry, trỏ đến tệp thực thi PHP và tệp cấu hình. Ví dụ về cách thức thêm entry vào Registry Run key có thể như sau (thường thực hiện thông qua PowerShell hoặc CMD):
reg add HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v "InterlockRAT" /t REG_SZ /d "C:\Users\%USERNAME%\AppData\Roaming\php\php.exe -c C:\Users\%USERNAME%\AppData\Roaming\php\config.ini" /fLệnh này sẽ thêm một mục nhập vào khóa Run của người dùng hiện tại, đảm bảo rằng tệp thực thi PHP của RAT sẽ chạy mỗi khi người dùng đăng nhập.
Di Chuyển Ngang và Mục Tiêu Tấn Công
Việc di chuyển ngang chủ yếu sử dụng Remote Desktop Protocol (RDP) để di chuyển qua các môi trường của nạn nhân. Chiến dịch tấn công này mang tính cơ hội, nhắm mục tiêu vào nhiều ngành công nghiệp khác nhau, làm nổi bật phạm vi hoạt động ngày càng mở rộng của nhóm tấn công.
Sự Tinh Vi Trong Hoạt Động của Nhóm Interlock
Sự phát triển này nhấn mạnh sự tinh vi trong hoạt động của nhóm Interlock, với sự chuyển đổi từ Node.js sang PHP nhằm tăng cường khả năng né tránh trong môi trường Windows.
Việc giám sát liên tục của The DFIR Report và Proofpoint hứa hẹn sẽ mang lại những hiểu biết sâu sắc hơn, với khách hàng hiện tại có quyền truy cập vào các quy tắc Sigma và YARA cùng với thông tin tình báo riêng.
Các tổ chức được khuyến nghị tăng cường khả năng phòng thủ chống lại các mối đe dọa tiêm vào web và theo dõi các chỉ số lây nhiễm.
