KongTuke isporučuje Interlock RAT

Interlock RAT, u svojoj PHP varijanti, koristi se kao zlonamjerni softver koji KongTuke kampanja distribuira za ciljanje korisnika Windows operativnog sistema, pokazuje zajedničko istraživanje platforme The DFIR Report i kompanije Proofpoint.

INTERLOCK RAT: NOVA VARIJANTA

Sigurnosni istraživači su identifikovali novu varijantu trojanca za udaljeni pristup (eng. remote access trojan – RAT) Interlock RAT, koja pokazuje značajno odstupanje od prethodno dokumentovanih varijanti. Ova najnovija verzija koristi PHP kao svoj osnovni skriptni mehanizam, od stupajući od varijante “NodeSnake” zasnovane na Node.js koja je nekada bila rasprostranjena.

Pojava ove nove varijante posebno je značajna zbog njenog brzog širenja od maja 2025. godine. Sigurnosni istraživači su joj dali naziv “FileFix” – nadimak koji odražava njene jedinstvene osobine i taktike koje koriste zlonamjerni akteri unutar klastera koji se oslanjaju na ubrizgavanje zlonamjernog kôda u internet aplikacije, poznatih kao KongTuke . Ova oznaka dodatno ističe sve veću sofisticiranost kampanje, pri čemu “FileFix” služi kao dokaz stalne evolucije sajber prijetnji.

 

Napredni lanac napada

Lanac napada potiče sa legitimnih internet stranica kompromitovanih ubrizgavanjem jednorednog, jako zamagljenog JavaScript kôda skrivenog u HTML kôdu stranice. Vlasnici internet stranica i posjetioci obično nisu svjesni prikrivenog kompromitovanja, što ga čini efikasnom taktikom za zlonamjerne aktere koji žele da ostanu ispod radara. Ubrizgani JavaScript je agresivan u korištenju IP filtriranja, osiguravajući isporuku korisnih sadržaja (eng. payload) samo pod određenim okolnostima.

Ovaj ciljani pristup omogućava operaterima Interlock RAT zlonamjernog softvera da selektivno poslužuju zlonamjerne korisne sadržaje žrtvama koje ispunjavaju određene kriterijume, povećavajući vjerovatnoću uspješne eksploatacije. Kao rezultat toga, korisnici često nisu svjesni da su im sistemi kompromitovani dok ne bude prekasno.

Korisnici koje postanu žrtve Interlock RAT lanca napada prvo dobijaju lažni CAPTCHA dijalog, u kojem im se nalaže da potvrde da su osoba: “Verify you are human”. Ovaj naizgled bezopasan upit je zapravo taktika obmanjivanja osmišljena da prevari korisnike i da ih natjera da izvrše zlonamjerni korisni teret. CAPTCHA dijalog služi kao pametna trik, čineći vjerovatnijim da će žrtve poslušati i na kraju izvršiti PowerShell skriptu koja pokreće Interlock RAT.

Upotreba CAPTCHA u ovom kontekstu ističe sposobnost zlonamjernog aktera da se prilagode i razviju svoje taktike kako bi izbjegli otkrivanje. Uključivanjem naizgled legitimnih bezbjednosnih mjera u svoj lanac napada, zlonamjerni akteri su stvorili ubjedljiv narativ osmišljen da kod korisnika izazove lažni osjećaj sigurnosti i oslabi njihovu pažnju.

Ako korisnik izvrši niz, CAPTCHA dijalog pokreće PowerShell skriptu koja pokreće Interlock RAT korisni teret. Ovaj ključni trenutak u lancu napada označava kritičnu tačku gdje zlonamjerni akteri mogu dobiti neovlašteni pristup kompromitovanim sistemima. Upotreba PowerShell okruženja kao vektora izvršenja naglašava njegovu svestranost i efikasnost za isporuku zlonamjernih korisnih tereta.

Raspoređivanje Interlock RAT zlonamjernog softvera putem PowerShell okruženja predstavlja značajnu eskalaciju sofisticiranosti, demonstrirajući sposobnost zlonamjernog aktera da prilagode svoje taktike kako bi izbjegli otkrivanje tradicionalnim bezbjednosnim mjerama.

Dalje, prelazak na PHP bazirani korisni teret predstavlja namjerni napor zlonamjernog aktera da diverzifikuju svoje taktike i izbjegnu otkrivanje. Korištenjem različitih programskih jezika, operateri Interlock RAT zlonamjernog softvera su stvorili okruženje u kojem su tradicionalne bezbjednosne mjere manje efikasne u otkrivanju zlonamjernih aktivnosti.

Na kraju, dolazi se do zaključka da je kampanja oportunistička u svom ciljanju, jer sigurnosni analitičari posmatraju napade na širok spektar vertikala industrije. Ovaj pristup sugeriše da zlonamjerni akter nastoji da poveća svoj uticaj ugrožavanjem višestrukih tipova organizacija, umjesto da se fokusira na određene sektore ili industrije.

 

Funkcionisanje

Kao što je već rečeno, napad potiče sa legitimnih internet stranica kompromitovanih ubrizgavanjem jednorednog, jako zamagljenog JavaScript kôda skrivenog u HTML kôdu stranice koji je agresivan u korištenju IP filtriranja, osiguravajući isporuku korisnih sadržaja samo pod određenim kriterijumima.

Ako su uslovi za isporuku ispunjeni, JavaScript kôd obmanjuje korisnike da potvrde da su osoba putem CAPTCHA dijaloga, nakon čega slede uputstva za lijepljenje sadržaja međuspremnika (eng. clipboard) u dijalog Windows Run, na kraju izvršavajući PowerShell skriptu koja raspoređuje Interlock RAT zlonamjernog softver.

Nakon izvršavanja, zlonamjerni softver koristi PowerShell za brisanje zastarelih zakazanih zadataka, zatim preuzima i izvršava komandu sa internet adrese Cloudflare tunela. Ova taktika koristi legitimnu uslugu trycloudflare.com da prikrije infrastrukturu komande i kontrole (C2). Upotreba PowerShell okruženja u ovom kontekstu je vrijedna pažnje, jer omogućava zlonamjernom akteru da održi nivo prikrivenosti dok i dalje postiže svoje ciljeve.

Interlock RAT se instalira kao kopija php.exe u direktorijumu AppData\Roaming korisnika, poziva se sa parametrima za učitavanje ZIP ekstenzija i sumnjivo lociranom konfiguracionom datotekom. Ovaj metod instalacije omogućava zlonamjernom softveru da uspostavi postojanost u ugroženim Windows okruženjima. Primjetno je da zlonamjerni softver to postiže registracijom u ključu “Run” u Windows registru, osiguravajući pokretanje pri prijavljivanju korisnika.

Jednom instaliran, Interlock RAT sprovodi agresivno izviđanje sistema putem automatizovanih PowerShell komandi. Ove komande prikupljaju opsežan sistemski profil u JSON formatu, izvlačeći sistemske specifikacije, liste procesa i usluga, montirane diskove i mapiranje lokalne mreže putem ARP tabela. Pored toga, zlonamjerni softver procjenjuje sopstveni nivo privilegija (USER, ADMIN, ili SYSTEM), pružajući vrijedne uvide u svoje mogućnosti.

Interlock RAT se takođe bavi robusnim aktivnostima “praktičnog rada na tastaturi” putem PHP izvršnog programa, uključujući nabrajanje domena, pretragu objekata korisnika i računara putem okruženja za usluge aktivnog direktorijuma (eng. Active Directory Service Interfaces – ADSI), liste kontrolera domena i ručno ispitivanje direktorijuma. Ovo ponašanje ukazuje na visoko sofisticiranog zlonamjernog aktera koji želi da prikupi detaljne informacije o kompromitovanim sistemima.

C2 kanal je napravljen veoma otpornim kombinovanjem Cloudflare tunela sa unaprijed definisanim rezervnim IP adresama. Ovaj način održava pristup zlonamjernog aktera čak i ako je primarna infrastruktura blokirana, osiguravajući da zlonamjerni softver ostane funkcionalan uprkos naporima da se poremeti njegovo poslovanje.

Na osnovu C2 instrukcija, Interlock RAT može da preuzme i izvrši i izvršne i DLL datoteke, uspostavi dalju postojanost, izvrši proizvoljne komande u komandom okruženju ili da se sam ukine. Ove mogućnosti naglašavaju svestranost Interlock RAT zlonamjernog softvera kao alata za zlonamjerne aktere koji žele da održe kontrolu nad kompromitovanim sistemima.

 

KONGTUKE KAMPANJA

Kampanja KongTuke je napredna operacija poznata još pod nazivima LandUpdate808 ili TAG-124, inicijalno otkrivena u maju 2024. godine. Pojavila se kao servis za početni pristup koji prodaje infekcije saradnicima koji koriste ucjenjivački softver (eng. ransomware) i drugim korisnicima početnog pristupa kao što je SocGholish, razvijajući se i postajući vremenom značajna sila u svetu sajber kriminala. KongTuke operaciju karakteriše upotreba taktika društvenog inženjeringa, uključujući lažne stranice “Verify you are human” koje učitavaju zlonamjerne PowerShell skripte u Windows međuspremnike žrtava, podstičući ih da izvrše skriptu i time ugrožavaju njihove sisteme.

Kampanje KongTuke često ciljaju određene industrije, sa značajnim fokusom na iskorištavanje ranjivosti u ugroženim WordPress internet lokacijama putem ubrizganog JavaScript kôda. Njihov način rada obično uključuje distribuciju zlonamjernog softvera ili phishing stranica putem višeslojnog sistema za distribuciju saobraćaja (eng. traffic distribution system – TDS), koji se sastoji od servera za korisno opterećenje koje kontrolišu zlonamjerni akteri i naprednog sistema upravljanja dizajniranog da izbjegne otkrivanje.

Sumnja se da je kampanja motivisana finansijskom dobiti, jer prodaju infekcije različitim zlonamjernim akterima u ekosistemu sajber kriminala. Primjetno je da KongTuke operacija vremenom prilagođava svoje taktike, uključujući nove tehnike poput ClickFix u svoj arsenal metoda za raspoređivanje zlonamjernog softvera. Upotreba kompromitovanih platformi i sofisticiranih sistema upravljanja izdvaja ovu kampanju od drugih, ističući jedinstvenu mješavinu tehničke stručnosti i organizacione složenosti.

Tokom svoje istorije, KongTuke kampanja je pokazala sposobnost da usavrši svoje tehnike infekcije, ažurira internet veze ugrađene u kompromitovane WordPress lokacije, doda servere i izbjegne otkrivanje usavršavanjem logike sistema za distribuciju saobraćaja (TDS). Ova prilagodljivost naglašava posvećenost operatera kampanje da budu ispred mjera sajber bezbjednosti i povećaju povraćaj investicija za svoje zlonamjerne aktivnosti.

 

UTICAJ

Kampanja KongTuke koja koristi modifikovani Interlock RAT predstavlja značajnu prijetnju po sajber bezbjednost sa dalekosežnim implikacijama za pojedince i organizacije. Sposobnost kampanje da isporuči zlonamjerne dodatke putem kompromitovanih internet lokacija predstavlja značajan rizik, posebno u okruženjima gdje su bezbjednosni protokoli neadekvatni ili nepostojeći.

Kako se prijetnja nastavlja razvijati i širiti, korisnici mogu očekivati povećanu vjerovatnoću da će naići na phishing napade koji se maskiraju kao legitiman sadržaj. Ova obmana može dovesti do neželjenih posljedica, uključujući neovlašteni pristup osjetljivim informacijama i potencijalne finansijske gubitke.

Primjena izmijenjenog Interlock RAT zlonamjernog softvera dodatno pogoršava ovaj rizik pružajući zlonamjernim akterima povećane privilegije na kompromitovanim sistemima. Mogućnost izvršavanja proizvoljnih komandi u komandnom okruženju i preuzimanja izvršnih ili DLL datoteka omogućava zlonamjernim akterima da manipulišu konfiguracijama sistema i održavaju postojanost u pogođenom okruženju.

Organizacije koje su meta ove kampanje mogu iskusiti značajne poremećaje, uključujući ugrožavanje podataka, narušavanje reputacije i finansijske gubitke. U nekim slučajevima, čitave mreže mogu biti prekinute, što rezultira produženim zastojem i povezanim troškovima.

Uticaj KongTuke kampanje nije ograničen na pojedinačne organizacije. Takođe ima širi uticaj na zajednicu sajber bezbjednosti u cjelini. Kako se ova prijetnja nastavlja razvijati, bezbjednosni timovi moraju ostati aktivni i prilagoditi svoje strategije kako bi se suprotstavili novim taktikama.

Posljedice kampanje KongTuke koja primjenjuje izmijenjeni Interlock RAT mogle bi se osjetiti u različitim sektorima, uključujući finansije, zdravstvo, obrazovanje i vladu. Ozbiljnost ovih uticaja ne može se precijeniti, jer mogu imati dalekosežne posljedice po pojedince, zajednice i društvo u cjelini.

 

ZAKLJUČAK

Primjena izmijenjene verzije Interlock RAT zlonamjernog softvera u okviru kampanje KongTuke označava značajnu prekretnicu u evoluciji sajber prijetnji. Ovaj razvoj događaja naglašava prilagodljivost i spremnost zlonamjernih aktera da razvijaju taktike, koristeći kompromitovane internet stranice, filtriranje IP adresa, CAPTCHA upite i PowerShell skripte za izvršavanje korisnih opterećenja.

Dok se branioci bore da prate nove rizike, zlonamjerni akteri nastavljaju da usavršavaju svoje vještine, iskorištavajući ranjivosti u internet aplikacijama i psihologiji korisnika. Upotreba zlonamjernih varijanti zasnovanih na PHP kôdu dodatno komplikuje napore sanacije, ističući potrebu za poboljšanim bezbjednosnim protokolima i proaktivnim strategijama lova na prijetnje.

Ključni nalazi ukazuju na to da kompromitovane internet stranice služe kao vektori za isporuku zlonamjernih korisnih opterećenja, koje vlasnici internet lokacija ili posjetioci često ne otkrivaju. Ovaj pristup koristi filtriranje IP adresa za selektivno ciljanje korisnika, naglašavajući važnost robusnih bezbjednosnih mjera.

Zbog svega navedenog, ova kampanja služi kao podsjetnik da je sajber bezbjednost kontinuirani proces koji zahteva stalnu pažnju i ulaganja svih zainteresovanih strana.

 

ZAŠTITA

1. Organizacijama se savjetuje da pregledaju svoje postojeće sisteme za praćenje u potrazi za potencijalnim ranjivostima koje mogu iskoristiti zlonamjerni akteri koji koriste izmijenjenu verziju Interlock RAT zlonamjernog softvera. Ovo uključuje procjenu obrazaca mrežnog saobraćaja, sistemskih zapisa i ponašanja korisnika kako bi se identifikovale anomalije koje ukazuju na zlonamjerne aktivnosti;
2. Da bi se spriječilo bočno kretanje unutar okruženja žrtve, neophodno je implementirati robusne strategije segmentacije mreže. Ovo podrazumijeva podjelu mreže na izolovane segmente sa strogom kontrolom pristupa, osiguravajući da su osjetljivi podaci i sistemi zaštićeni od neovlaštenog pristupa;
3. Redovne bezbjednosne revizije mogu pomoći u identifikaciji ranjivosti u postojećoj infrastrukturi prije nego što ih zlonamjerni akteri mogu iskoristiti. Ove procjene treba da se fokusiraju na identifikovanje slabosti u konfiguracijama sistema, zastareli softver i druge potencijalne ulazne tačke za zlonamjerne aktivnosti;
4. Organizacije moraju da obezbijede da su svi komunikacioni protokoli koji se koriste u njihovim mrežama bezbjedni i ažurirani. Ovo uključuje implementaciju tehnologija šifrovanja radi zaštite podataka koji se prenose preko mreže i korištenje mehanizama bezbjedne autentifikacije za verifikaciju identiteta korisnika;
5. Phishing napadi ostaju značajan vektor prijetnje za implementaciju Interlock RAT zlonamjernog softvera. Stoga je ključno da korisnici redovno dobijaju obuku o identifikovanju phishing pokušaja i izbjegavanju sumnjivih elektronskih poruka ili priloga;
6. Alati za analizu ponašanja mogu se koristiti za praćenje aktivnosti sistema i identifikaciju anomalija koje ukazuju na zlonamjerno ponašanje. Ovi sistemi treba da budu integrisani u postojeću infrastrukturu za praćenje kako bi se pružio sveobuhvatan pregled bezbjednosti mreže;
7. Prakse bezbjedne konfiguracije su neophodne za sprečavanje iskorišćavanja ranjivosti u softverskim aplikacijama. Ovo uključuje implementaciju bezbjednih podrazumijevanih konfiguracija, onemogućavanje nepotrebnih funkcija i redovno ažuriranje sistemskih ispravki;
8. Redovne rezervne kopije su ključne za obezbjeđivanje kontinuiteta poslovanja u slučaju katastrofe ili kompromitovanja sistema. Organizacije treba da obezbijede da se podaci rezervnih kopija bezbjedno čuvaju van lokacije i da se mogu brzo vratiti u slučaju nužde;
9. Implementacija mehanizama autentifikacije u dva koraka (eng. two-factor authentication – 2FA) pruža dodatni sloj bezbjednosti od neovlaštenog pristupa osjetljivim sistemima i aplikacijama. Ovo uključuje korištenje aplikacija za autentifikaciju, kôdova za autentifikaciju zasnovanih na SMS porukama ili drugih bezbjednih metoda verifikacije;
10. Politike bezbjednih lozinki su neophodne za sprečavanje zloupotrebe slabih lozinki od strane zlonamjernih aktera. Organizacije treba da implementiraju stroge zahteve za lozinke, uključujući minimalnu dužinu, složenost i intervale rotacije;
11. Alati za analizu mrežnog saobraćaja mogu se koristiti za praćenje mrežne aktivnosti u realnom vremenu, identifikujući potencijalne bezbjednosne prijetnje prije nego što postanu veliki incidenti. Ovi sistemi treba da budu integrisani u postojeću infrastrukturu za praćenje radi sveobuhvatne vidljivosti;
12. Prakse bezbjednog skladištenja podataka su neophodne za zaštitu osjetljivih informacija od neovlaštenog pristupa ili krađe. Organizacije treba da primjene robusne tehnologije šifrovanja i bezbjedne mehanizme autentifikacije kako bi zaštitile sačuvane podatke;
13. Procedure reagovanja na incidente treba da budu razvijene i redovno testirane kako bi se osiguralo da organizacije mogu brzo i efikasno da reaguju u slučaju velikog incidenta ili kompromitovanja sistema. Ovo uključuje uspostavljanje jasnih komunikacionih kanala, identifikovanje ključnih zainteresovanih strana i primjenu strategija zadržavanja.