{"id":8205,"date":"2025-07-23T18:16:04","date_gmt":"2025-07-23T16:16:04","guid":{"rendered":"https:\/\/sajberinfo.com\/?p=8205"},"modified":"2025-07-23T18:17:04","modified_gmt":"2025-07-23T16:17:04","slug":"kongtuke-isporucuje-interlock-rat","status":"publish","type":"post","link":"https:\/\/sajberinfo.com\/en\/2025\/07\/23\/kongtuke-isporucuje-interlock-rat\/","title":{"rendered":"KongTuke isporu\u010duje Interlock RAT"},"content":{"rendered":"<p><em>Interlock RAT<\/em>, u svojoj <em>PHP<\/em> varijanti, koristi se kao <a href=\"https:\/\/sajberinfo.com\/en\/2021\/09\/26\/malware\/\" target=\"_blank\" rel=\"nofollow noopener\">zlonamjerni softver<\/a> koji <em>KongTuke<\/em> kampanja distribuira za ciljanje korisnika <em>Windows<\/em> operativnog sistema, pokazuje zajedni\u010dko <a href=\"https:\/\/thedfirreport.com\/2025\/07\/14\/kongtuke-filefix-leads-to-new-interlock-rat-variant\/\" target=\"_blank\" rel=\"noopener\">istra\u017eivanje<\/a> platforme <em>The DFIR Report<\/em> i kompanije <em>Proofpoint<\/em>.<\/p>\n<div id=\"attachment_8206\" style=\"width: 1034px\" class=\"wp-caption aligncenter\"><img loading=\"lazy\" decoding=\"async\" aria-describedby=\"caption-attachment-8206\" class=\"size-full wp-image-8206\" src=\"https:\/\/sajberinfo.com\/wp-content\/uploads\/2025\/07\/Interlock-RAT-malware.jpg\" alt=\"Interlock RAT\" width=\"1024\" height=\"1024\" srcset=\"https:\/\/sajberinfo.com\/wp-content\/uploads\/2025\/07\/Interlock-RAT-malware.jpg 1024w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2025\/07\/Interlock-RAT-malware-300x300.jpg 300w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2025\/07\/Interlock-RAT-malware-150x150.jpg 150w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2025\/07\/Interlock-RAT-malware-768x768.jpg 768w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2025\/07\/Interlock-RAT-malware-12x12.jpg 12w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2025\/07\/Interlock-RAT-malware-80x80.jpg 80w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2025\/07\/Interlock-RAT-malware-320x320.jpg 320w\" sizes=\"auto, (max-width: 1024px) 100vw, 1024px\" \/><p id=\"caption-attachment-8206\" class=\"wp-caption-text\"><em>KongTuke isporu\u010duje Interlock RAT; Source: Bing Image Creator<\/em><\/p><\/div>\n<div id=\"ez-toc-container\" class=\"ez-toc-v2_0_82_2 counter-hierarchy ez-toc-counter ez-toc-custom ez-toc-container-direction\">\n<div class=\"ez-toc-title-container\">\n<p class=\"ez-toc-title\" style=\"cursor:inherit\">Sadr\u017eaj<\/p>\n<span class=\"ez-toc-title-toggle\"><a href=\"#\" class=\"ez-toc-pull-right ez-toc-btn ez-toc-btn-xs ez-toc-btn-default ez-toc-toggle\" aria-label=\"Toggle Table of Content\"><span class=\"ez-toc-js-icon-con\"><span class=\"\"><span class=\"eztoc-hide\" style=\"display:none;\">Toggle<\/span><span class=\"ez-toc-icon-toggle-span\"><svg style=\"fill: #ffffff;color:#ffffff\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" class=\"list-377408\" width=\"20px\" height=\"20px\" viewbox=\"0 0 24 24\" fill=\"none\"><path d=\"M6 6H4v2h2V6zm14 0H8v2h12V6zM4 11h2v2H4v-2zm16 0H8v2h12v-2zM4 16h2v2H4v-2zm16 0H8v2h12v-2z\" fill=\"currentColor\"><\/path><\/svg><svg style=\"fill: #ffffff;color:#ffffff\" class=\"arrow-unsorted-368013\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" width=\"10px\" height=\"10px\" viewbox=\"0 0 24 24\" version=\"1.2\" baseprofile=\"tiny\"><path d=\"M18.2 9.3l-6.2-6.3-6.2 6.3c-.2.2-.3.4-.3.7s.1.5.3.7c.2.2.4.3.7.3h11c.3 0 .5-.1.7-.3.2-.2.3-.5.3-.7s-.1-.5-.3-.7zM5.8 14.7l6.2 6.3 6.2-6.3c.2-.2.3-.5.3-.7s-.1-.5-.3-.7c-.2-.2-.4-.3-.7-.3h-11c-.3 0-.5.1-.7.3-.2.2-.3.5-.3.7s.1.5.3.7z\"\/><\/svg><\/span><\/span><\/span><\/a><\/span><\/div>\n<nav><ul class='ez-toc-list ez-toc-list-level-1' ><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-1\" href=\"https:\/\/sajberinfo.com\/en\/2025\/07\/23\/kongtuke-isporucuje-interlock-rat\/#INTERLOCK_RAT_NOVA_VARIJANTA\">INTERLOCK RAT: NOVA VARIJANTA<\/a><ul class='ez-toc-list-level-3' ><li class='ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-2\" href=\"https:\/\/sajberinfo.com\/en\/2025\/07\/23\/kongtuke-isporucuje-interlock-rat\/#Napredni_lanac_napada\">Napredni lanac napada<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-3\" href=\"https:\/\/sajberinfo.com\/en\/2025\/07\/23\/kongtuke-isporucuje-interlock-rat\/#Funkcionisanje\">Funkcionisanje<\/a><\/li><\/ul><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-4\" href=\"https:\/\/sajberinfo.com\/en\/2025\/07\/23\/kongtuke-isporucuje-interlock-rat\/#KONGTUKE_KAMPANJA\">KONGTUKE KAMPANJA<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-5\" href=\"https:\/\/sajberinfo.com\/en\/2025\/07\/23\/kongtuke-isporucuje-interlock-rat\/#UTICAJ\">UTICAJ<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-6\" href=\"https:\/\/sajberinfo.com\/en\/2025\/07\/23\/kongtuke-isporucuje-interlock-rat\/#ZAKLJUCAK\">ZAKLJU\u010cAK<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-7\" href=\"https:\/\/sajberinfo.com\/en\/2025\/07\/23\/kongtuke-isporucuje-interlock-rat\/#ZASTITA\">ZA\u0160TITA<\/a><\/li><\/ul><\/nav><\/div>\n\n<h2><span class=\"ez-toc-section\" id=\"INTERLOCK_RAT_NOVA_VARIJANTA\"><\/span><strong><em>INTERLOCK RAT<\/em>: NOVA VARIJANTA<\/strong><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p>Sigurnosni istra\u017eiva\u010di su identifikovali novu varijantu <a href=\"https:\/\/sajberinfo.com\/en\/2021\/09\/26\/trojan\/\" target=\"_blank\" rel=\"noopener\">trojanca<\/a> za udaljeni pristup (eng. <em>remote access trojan \u2013 RAT<\/em>) <em>Interlock RAT<\/em>, koja pokazuje zna\u010dajno odstupanje od prethodno dokumentovanih varijanti. Ova najnovija verzija koristi <em>PHP<\/em> kao svoj osnovni skriptni mehanizam, od stupaju\u0107i od varijante \u201c<em>NodeSnake<\/em>\u201d zasnovane na <em>Node.js<\/em> koja je nekada bila rasprostranjena.<\/p>\n<p>Pojava ove nove varijante posebno je zna\u010dajna zbog njenog brzog \u0161irenja od maja 2025. godine. Sigurnosni istra\u017eiva\u010di su joj dali naziv \u201c<em>FileFix<\/em>\u201d \u2013 nadimak koji odra\u017eava njene jedinstvene osobine i taktike koje koriste <a href=\"https:\/\/sajberinfo.com\/en\/2022\/03\/19\/hakeri-crni-sesiri-epizoda-3\/\" target=\"_blank\" rel=\"nofollow noopener\">zlonamjerni akteri<\/a> unutar klastera koji se oslanjaju na ubrizgavanje zlonamjernog k\u00f4da u internet aplikacije, poznatih kao <em>KongTuke <\/em>. Ova oznaka dodatno isti\u010de sve ve\u0107u sofisticiranost kampanje, pri \u010demu \u201c<em>FileFix<\/em>\u201d slu\u017ei kao dokaz stalne evolucije sajber prijetnji.<\/p>\n<p>&nbsp;<\/p>\n<h3><span class=\"ez-toc-section\" id=\"Napredni_lanac_napada\"><\/span><strong>Napredni lanac napada<\/strong><span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p>Lanac napada poti\u010de sa legitimnih internet stranica kompromitovanih ubrizgavanjem jednorednog, jako zamagljenog <em>JavaScript <\/em>k\u00f4da skrivenog u <em>HTML<\/em> k\u00f4du stranice. Vlasnici internet stranica i posjetioci obi\u010dno nisu svjesni prikrivenog kompromitovanja, \u0161to ga \u010dini efikasnom taktikom za zlonamjerne aktere koji \u017eele da ostanu ispod radara. Ubrizgani <em>JavaScript<\/em> je agresivan u kori\u0161tenju <em>IP<\/em> filtriranja, osiguravaju\u0107i isporuku <a href=\"https:\/\/sajberinfo.com\/en\/2023\/04\/11\/payload\/\" target=\"_blank\" rel=\"nofollow noopener\">korisnih sadr\u017eaja<\/a> (eng. <em>payload<\/em>) samo pod odre\u0111enim okolnostima.<\/p>\n<p>Ovaj ciljani pristup omogu\u0107ava operaterima <em>Interlock RAT<\/em> zlonamjernog softvera da selektivno poslu\u017euju zlonamjerne korisne sadr\u017eaje \u017ertvama koje ispunjavaju odre\u0111ene kriterijume, pove\u0107avaju\u0107i vjerovatno\u0107u uspje\u0161ne eksploatacije. Kao rezultat toga, korisnici \u010desto nisu svjesni da su im sistemi kompromitovani dok ne bude prekasno.<\/p>\n<p>Korisnici koje postanu \u017ertve <em>Interlock RAT<\/em> lanca napada prvo dobijaju la\u017eni <em>CAPTCHA<\/em> dijalog, u kojem im se nala\u017ee da potvrde da su osoba: \u201c<em>Verify you are human<\/em>\u201d. Ovaj naizgled bezopasan upit je zapravo taktika obmanjivanja osmi\u0161ljena da prevari korisnike i da ih natjera da izvr\u0161e zlonamjerni korisni teret. <em>CAPTCHA<\/em> dijalog slu\u017ei kao pametna trik, \u010dine\u0107i vjerovatnijim da \u0107e \u017ertve poslu\u0161ati i na kraju izvr\u0161iti <em>PowerShell<\/em> skriptu koja pokre\u0107e <em>Interlock RAT<\/em>.<\/p>\n<p>Upotreba <em>CAPTCHA<\/em> u ovom kontekstu isti\u010de sposobnost zlonamjernog aktera da se prilagode i razviju svoje taktike kako bi izbjegli otkrivanje. Uklju\u010divanjem naizgled legitimnih bezbjednosnih mjera u svoj lanac napada, zlonamjerni akteri su stvorili ubjedljiv narativ osmi\u0161ljen da kod korisnika izazove la\u017eni osje\u0107aj sigurnosti i oslabi njihovu pa\u017enju.<\/p>\n<p>Ako korisnik izvr\u0161i niz, <em>CAPTCHA<\/em> dijalog pokre\u0107e <em>PowerShell<\/em> skriptu koja pokre\u0107e <em>Interlock RAT<\/em> korisni teret. Ovaj klju\u010dni trenutak u lancu napada ozna\u010dava kriti\u010dnu ta\u010dku gdje zlonamjerni akteri mogu dobiti neovla\u0161teni pristup kompromitovanim sistemima. Upotreba <em>PowerShell<\/em> okru\u017eenja kao vektora izvr\u0161enja nagla\u0161ava njegovu svestranost i efikasnost za isporuku zlonamjernih korisnih tereta.<\/p>\n<p>Raspore\u0111ivanje <em>Interlock RAT<\/em> zlonamjernog softvera putem <em>PowerShell<\/em> okru\u017eenja predstavlja zna\u010dajnu eskalaciju sofisticiranosti, demonstriraju\u0107i sposobnost zlonamjernog aktera da prilagode svoje taktike kako bi izbjegli otkrivanje tradicionalnim bezbjednosnim mjerama.<\/p>\n<p>Dalje, prelazak na <em>PHP<\/em> bazirani korisni teret predstavlja namjerni napor zlonamjernog aktera da diverzifikuju svoje taktike i izbjegnu otkrivanje. Kori\u0161tenjem razli\u010ditih programskih jezika, operateri <em>Interlock RAT<\/em> zlonamjernog softvera su stvorili okru\u017eenje u kojem su tradicionalne bezbjednosne mjere manje efikasne u otkrivanju zlonamjernih aktivnosti.<\/p>\n<p>Na kraju, dolazi se do zaklju\u010dka da je kampanja oportunisti\u010dka u svom ciljanju, jer sigurnosni analiti\u010dari posmatraju napade na \u0161irok spektar vertikala industrije. Ovaj pristup sugeri\u0161e da zlonamjerni akter nastoji da pove\u0107a svoj uticaj ugro\u017eavanjem vi\u0161estrukih tipova organizacija, umjesto da se fokusira na odre\u0111ene sektore ili industrije.<\/p>\n<p>&nbsp;<\/p>\n<h3><span class=\"ez-toc-section\" id=\"Funkcionisanje\"><\/span><strong>Funkcionisanje<\/strong><span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p>Kao \u0161to je ve\u0107 re\u010deno, napad poti\u010de sa legitimnih internet stranica kompromitovanih ubrizgavanjem jednorednog, jako zamagljenog <em>JavaScript<\/em> k\u00f4da skrivenog u <em>HTML<\/em> k\u00f4du stranice koji je agresivan u kori\u0161tenju <em>IP<\/em> filtriranja, osiguravaju\u0107i isporuku korisnih sadr\u017eaja samo pod odre\u0111enim kriterijumima.<\/p>\n<p>Ako su uslovi za isporuku ispunjeni, <em>JavaScript<\/em> k\u00f4d obmanjuje korisnike da potvrde da su osoba putem <em>CAPTCHA<\/em> dijaloga, nakon \u010dega slede uputstva za lijepljenje sadr\u017eaja me\u0111uspremnika (eng. <em>clipboard<\/em>) u dijalog <em>Windows<\/em> <em>Run<\/em>, na kraju izvr\u0161avaju\u0107i <em>PowerShell<\/em> skriptu koja raspore\u0111uje <em>Interlock RAT<\/em> zlonamjernog softver.<\/p>\n<p>Nakon izvr\u0161avanja, zlonamjerni softver koristi <em>PowerShell<\/em> za brisanje zastarelih zakazanih zadataka, zatim preuzima i izvr\u0161ava komandu sa internet adrese <em>Cloudflare<\/em> tunela. Ova taktika koristi legitimnu uslugu <em>trycloudflare.com<\/em> da prikrije infrastrukturu komande i kontrole (<em>C2<\/em>). Upotreba <em>PowerShell<\/em> okru\u017eenja u ovom kontekstu je vrijedna pa\u017enje, jer omogu\u0107ava zlonamjernom akteru da odr\u017ei nivo prikrivenosti dok i dalje posti\u017ee svoje ciljeve.<\/p>\n<p><em>Interlock RAT<\/em> se instalira kao kopija <em>php.exe<\/em> u direktorijumu <em>AppData\\Roaming<\/em> korisnika, poziva se sa parametrima za u\u010ditavanje <em>ZIP<\/em> ekstenzija i sumnjivo lociranom konfiguracionom datotekom. Ovaj metod instalacije omogu\u0107ava zlonamjernom softveru da uspostavi postojanost u ugro\u017eenim <em>Windows<\/em> okru\u017eenjima. Primjetno je da zlonamjerni softver to posti\u017ee registracijom u klju\u010du \u201c<em>Run<\/em>\u201d u <em>Windows<\/em> registru, osiguravaju\u0107i pokretanje pri prijavljivanju korisnika.<\/p>\n<p>Jednom instaliran, <em>Interlock RAT<\/em> sprovodi agresivno izvi\u0111anje sistema putem automatizovanih <em>PowerShell<\/em> komandi. Ove komande prikupljaju opse\u017ean sistemski profil u <em>JSON<\/em> formatu, izvla\u010de\u0107i sistemske specifikacije, liste procesa i usluga, montirane diskove i mapiranje lokalne mre\u017ee putem <em>ARP<\/em> tabela. Pored toga, zlonamjerni softver procjenjuje sopstveni nivo privilegija (<em>USER<\/em>, <em>ADMIN<\/em>, ili <em>SYSTEM<\/em>), pru\u017eaju\u0107i vrijedne uvide u svoje mogu\u0107nosti.<\/p>\n<p><em>Interlock RAT<\/em> se tako\u0111e bavi robusnim aktivnostima \u201c<em>prakti\u010dnog rada na tastaturi<\/em>\u201d putem <em>PHP<\/em> izvr\u0161nog programa, uklju\u010duju\u0107i nabrajanje domena, pretragu objekata korisnika i ra\u010dunara putem okru\u017eenja za usluge aktivnog direktorijuma (eng. <em>Active Directory Service Interfaces \u2013 ADSI<\/em>), liste kontrolera domena i ru\u010dno ispitivanje direktorijuma. Ovo pona\u0161anje ukazuje na visoko sofisticiranog zlonamjernog aktera koji \u017eeli da prikupi detaljne informacije o kompromitovanim sistemima.<\/p>\n<p><em>C2<\/em> kanal je napravljen veoma otpornim kombinovanjem <em>Cloudflare<\/em> tunela sa unaprijed definisanim rezervnim <em>IP<\/em> adresama. Ovaj na\u010din odr\u017eava pristup zlonamjernog aktera \u010dak i ako je primarna infrastruktura blokirana, osiguravaju\u0107i da zlonamjerni softver ostane funkcionalan uprkos naporima da se poremeti njegovo poslovanje.<\/p>\n<p>Na osnovu <em>C2<\/em> instrukcija, <em>Interlock RAT<\/em> mo\u017ee da preuzme i izvr\u0161i i izvr\u0161ne i <em>DLL<\/em> datoteke, uspostavi dalju postojanost, izvr\u0161i proizvoljne komande u komandom okru\u017eenju ili da se sam ukine. Ove mogu\u0107nosti nagla\u0161avaju svestranost <em>Interlock RAT <\/em>zlonamjernog softvera kao alata za zlonamjerne aktere koji \u017eele da odr\u017ee kontrolu nad kompromitovanim sistemima.<\/p>\n<p>&nbsp;<\/p>\n<h2><span class=\"ez-toc-section\" id=\"KONGTUKE_KAMPANJA\"><\/span><strong>KONGTUKE KAMPANJA<\/strong><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p>Kampanja <em>KongTuke<\/em> je napredna operacija poznata jo\u0161 pod nazivima <em>LandUpdate808<\/em> ili <em>TAG-124, <\/em>inicijalno otkrivena u maju 2024. godine. Pojavila se kao servis za po\u010detni pristup koji prodaje infekcije saradnicima koji koriste ucjenjiva\u010dki softver (eng. <em><span class=\"md svelte-8tpqd2 chatbot prose\">ransomware<\/span>)<\/em> i drugim korisnicima po\u010detnog pristupa kao \u0161to je <em>SocGholish<\/em>, razvijaju\u0107i se i postaju\u0107i vremenom zna\u010dajna sila u svetu sajber kriminala. <em>KongTuke<\/em> operaciju karakteri\u0161e upotreba taktika dru\u0161tvenog in\u017eenjeringa, uklju\u010duju\u0107i la\u017ene stranice \u201c<em>Verify you are human<\/em>\u201d koje u\u010ditavaju zlonamjerne <em>PowerShell<\/em> skripte u <em>Windows<\/em> me\u0111uspremnike \u017ertava, podsti\u010du\u0107i ih da izvr\u0161e skriptu i time ugro\u017eavaju njihove sisteme.<\/p>\n<p>Kampanje <em>KongTuke<\/em> \u010desto ciljaju odre\u0111ene industrije, sa zna\u010dajnim fokusom na iskori\u0161tavanje ranjivosti u ugro\u017eenim <em>WordPress<\/em> internet lokacijama putem ubrizganog <em>JavaScript<\/em> k\u00f4da. Njihov na\u010din rada obi\u010dno uklju\u010duje distribuciju zlonamjernog softvera ili <a href=\"https:\/\/sajberinfo.com\/en\/2022\/01\/02\/phishing-meta-su-ljudi-ne-tehnologija\/\" target=\"_blank\" rel=\"nofollow noopener\"><em>phishing<\/em> <\/a>stranica putem vi\u0161eslojnog sistema za distribuciju saobra\u0107aja (eng. <em>traffic distribution system \u2013 TDS<\/em>), koji se sastoji od servera za korisno optere\u0107enje koje kontroli\u0161u zlonamjerni akteri i naprednog sistema upravljanja dizajniranog da izbjegne otkrivanje.<\/p>\n<p>Sumnja se da je kampanja motivisana finansijskom dobiti, jer prodaju infekcije razli\u010ditim zlonamjernim akterima u ekosistemu sajber kriminala. Primjetno je da <em>KongTuke<\/em> operacija vremenom prilago\u0111ava svoje taktike, uklju\u010duju\u0107i nove tehnike poput <em>ClickFix<\/em> u svoj arsenal metoda za raspore\u0111ivanje zlonamjernog softvera. Upotreba kompromitovanih platformi i sofisticiranih sistema upravljanja izdvaja ovu kampanju od drugih, isti\u010du\u0107i jedinstvenu mje\u0161avinu tehni\u010dke stru\u010dnosti i organizacione slo\u017eenosti.<\/p>\n<p>Tokom svoje istorije, <em>KongTuke<\/em> kampanja je pokazala sposobnost da usavr\u0161i svoje tehnike infekcije, a\u017eurira internet veze ugra\u0111ene u kompromitovane <em>WordPress<\/em> lokacije, doda servere i izbjegne otkrivanje usavr\u0161avanjem logike sistema za distribuciju saobra\u0107aja (<em>TDS<\/em>). Ova prilagodljivost nagla\u0161ava posve\u0107enost operatera kampanje da budu ispred mjera <a href=\"https:\/\/sajberinfo.com\/en\/2018\/12\/23\/sajber-bezbjednost\/\" target=\"_blank\" rel=\"nofollow noopener\">sajber bezbjednosti<\/a> i pove\u0107aju povra\u0107aj investicija za svoje zlonamjerne aktivnosti.<\/p>\n<p>&nbsp;<\/p>\n<h2><span class=\"ez-toc-section\" id=\"UTICAJ\"><\/span><strong>UTICAJ<\/strong><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p>Kampanja <em>KongTuke<\/em> koja koristi modifikovani <em>Interlock RAT<\/em> predstavlja zna\u010dajnu prijetnju po sajber bezbjednost sa dalekose\u017enim implikacijama za pojedince i organizacije. Sposobnost kampanje da isporu\u010di zlonamjerne dodatke putem kompromitovanih internet lokacija predstavlja zna\u010dajan rizik, posebno u okru\u017eenjima gdje su bezbjednosni protokoli neadekvatni ili nepostoje\u0107i.<\/p>\n<p>Kako se prijetnja nastavlja razvijati i \u0161iriti, korisnici mogu o\u010dekivati pove\u0107anu vjerovatno\u0107u da \u0107e nai\u0107i na <a href=\"https:\/\/sajberinfo.com\/en\/2022\/02\/23\/phishing\/\" target=\"_blank\" rel=\"nofollow noopener\"><em>phishing<\/em> <\/a>napade koji se maskiraju kao legitiman sadr\u017eaj. Ova obmana mo\u017ee dovesti do ne\u017eeljenih posljedica, uklju\u010duju\u0107i neovla\u0161teni pristup osjetljivim informacijama i potencijalne finansijske gubitke.<\/p>\n<p>Primjena izmijenjenog <em>Interlock RAT <\/em>zlonamjernog softvera dodatno pogor\u0161ava ovaj rizik pru\u017eaju\u0107i zlonamjernim akterima pove\u0107ane privilegije na kompromitovanim sistemima. Mogu\u0107nost izvr\u0161avanja proizvoljnih komandi u komandnom okru\u017eenju i preuzimanja izvr\u0161nih ili <em>DLL<\/em> datoteka omogu\u0107ava zlonamjernim akterima da manipuli\u0161u konfiguracijama sistema i odr\u017eavaju postojanost u pogo\u0111enom okru\u017eenju.<\/p>\n<p>Organizacije koje su meta ove kampanje mogu iskusiti zna\u010dajne poreme\u0107aje, uklju\u010duju\u0107i ugro\u017eavanje podataka, naru\u0161avanje reputacije i finansijske gubitke. U nekim slu\u010dajevima, \u010ditave mre\u017ee mogu biti prekinute, \u0161to rezultira produ\u017eenim zastojem i povezanim tro\u0161kovima.<\/p>\n<p>Uticaj <em>KongTuke<\/em> kampanje nije ograni\u010den na pojedina\u010dne organizacije. Tako\u0111e ima \u0161iri uticaj na zajednicu sajber bezbjednosti u cjelini. Kako se ova prijetnja nastavlja razvijati, bezbjednosni timovi moraju ostati aktivni i prilagoditi svoje strategije kako bi se suprotstavili novim taktikama.<\/p>\n<p>Posljedice kampanje <em>KongTuke<\/em> koja primjenjuje izmijenjeni <em>Interlock RAT <\/em>mogle bi se osjetiti u razli\u010ditim sektorima, uklju\u010duju\u0107i finansije, zdravstvo, obrazovanje i vladu. Ozbiljnost ovih uticaja ne mo\u017ee se precijeniti, jer mogu imati dalekose\u017ene posljedice po pojedince, zajednice i dru\u0161tvo u cjelini.<\/p>\n<p>&nbsp;<\/p>\n<h2><span class=\"ez-toc-section\" id=\"ZAKLJUCAK\"><\/span><strong>ZAKLJU\u010cAK<\/strong><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p>Primjena izmijenjene verzije <em>Interlock RAT<\/em> zlonamjernog softvera u okviru kampanje <em>KongTuke<\/em> ozna\u010dava zna\u010dajnu prekretnicu u evoluciji sajber prijetnji. Ovaj razvoj doga\u0111aja nagla\u0161ava prilagodljivost i spremnost zlonamjernih aktera da razvijaju taktike, koriste\u0107i kompromitovane internet stranice, filtriranje <em>IP<\/em> adresa, <em>CAPTCHA<\/em> upite i <em>PowerShell<\/em> skripte za izvr\u0161avanje korisnih optere\u0107enja.<\/p>\n<p>Dok se branioci bore da prate nove rizike, zlonamjerni akteri nastavljaju da usavr\u0161avaju svoje vje\u0161tine, iskori\u0161tavaju\u0107i ranjivosti u internet aplikacijama i psihologiji korisnika. Upotreba zlonamjernih varijanti zasnovanih na <em>PHP<\/em> k\u00f4du dodatno komplikuje napore sanacije, isti\u010du\u0107i potrebu za pobolj\u0161anim bezbjednosnim protokolima i proaktivnim strategijama lova na prijetnje.<\/p>\n<p>Klju\u010dni nalazi ukazuju na to da kompromitovane internet stranice slu\u017ee kao vektori za isporuku zlonamjernih korisnih optere\u0107enja, koje vlasnici internet lokacija ili posjetioci \u010desto ne otkrivaju. Ovaj pristup koristi filtriranje <em>IP<\/em> adresa za selektivno ciljanje korisnika, nagla\u0161avaju\u0107i va\u017enost robusnih bezbjednosnih mjera.<\/p>\n<p>Zbog svega navedenog, ova kampanja slu\u017ei kao podsjetnik da je sajber bezbjednost kontinuirani proces koji zahteva stalnu pa\u017enju i ulaganja svih zainteresovanih strana.<\/p>\n<p>&nbsp;<\/p>\n<h2><span class=\"ez-toc-section\" id=\"ZASTITA\"><\/span><strong>ZA\u0160TITA<\/strong><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<ol>\n<li>Organizacijama se savjetuje da pregledaju svoje postoje\u0107e sisteme za pra\u0107enje u potrazi za potencijalnim ranjivostima koje mogu iskoristiti zlonamjerni akteri koji koriste izmijenjenu verziju <em>Interlock RAT<\/em> zlonamjernog softvera. Ovo uklju\u010duje procjenu obrazaca mre\u017enog saobra\u0107aja, sistemskih zapisa i pona\u0161anja korisnika kako bi se identifikovale anomalije koje ukazuju na zlonamjerne aktivnosti;<\/li>\n<li>Da bi se sprije\u010dilo <a href=\"https:\/\/sajberinfo.com\/en\/2023\/11\/09\/lateral-movement\/\" target=\"_blank\" rel=\"nofollow noopener\">bo\u010dno kretanje<\/a> unutar okru\u017eenja \u017ertve, neophodno je implementirati robusne strategije segmentacije mre\u017ee. Ovo podrazumijeva podjelu mre\u017ee na izolovane segmente sa strogom kontrolom pristupa, osiguravaju\u0107i da su osjetljivi podaci i sistemi za\u0161ti\u0107eni od neovla\u0161tenog pristupa;<\/li>\n<li>Redovne bezbjednosne revizije mogu pomo\u0107i u identifikaciji ranjivosti u postoje\u0107oj infrastrukturi prije nego \u0161to ih zlonamjerni akteri mogu iskoristiti. Ove procjene treba da se fokusiraju na identifikovanje slabosti u konfiguracijama sistema, zastareli softver i druge potencijalne ulazne ta\u010dke za zlonamjerne aktivnosti;<\/li>\n<li>Organizacije moraju da obezbijede da su svi komunikacioni protokoli koji se koriste u njihovim mre\u017eama bezbjedni i a\u017eurirani. Ovo uklju\u010duje implementaciju tehnologija <a href=\"https:\/\/sajberinfo.com\/en\/2022\/03\/20\/enkripcija-podataka-istorija-i-osnove-epizoda-1\/\" target=\"_blank\" rel=\"nofollow noopener\">\u0161ifrovanja<\/a> radi za\u0161tite podataka koji se prenose preko mre\u017ee i kori\u0161tenje mehanizama bezbjedne autentifikacije za verifikaciju identiteta korisnika;<\/li>\n<li><em>Phishing<\/em> napadi ostaju zna\u010dajan vektor prijetnje za implementaciju <em>Interlock RAT<\/em> zlonamjernog softvera. Stoga je klju\u010dno da korisnici redovno dobijaju obuku o identifikovanju <em>phishing <\/em>poku\u0161aja i izbjegavanju sumnjivih elektronskih poruka ili priloga;<\/li>\n<li>Alati za analizu pona\u0161anja mogu se koristiti za pra\u0107enje aktivnosti sistema i identifikaciju anomalija koje ukazuju na zlonamjerno pona\u0161anje. Ovi sistemi treba da budu integrisani u postoje\u0107u infrastrukturu za pra\u0107enje kako bi se pru\u017eio sveobuhvatan pregled bezbjednosti mre\u017ee;<\/li>\n<li>Prakse bezbjedne konfiguracije su neophodne za spre\u010davanje iskori\u0161\u0107avanja ranjivosti u softverskim aplikacijama. Ovo uklju\u010duje implementaciju bezbjednih podrazumijevanih konfiguracija, onemogu\u0107avanje nepotrebnih funkcija i redovno a\u017euriranje sistemskih ispravki;<\/li>\n<li>Redovne <a href=\"https:\/\/sajberinfo.com\/en\/2020\/11\/02\/rezervna-kopija-i-cuvanje-podataka\/\" target=\"_blank\" rel=\"nofollow noopener\">rezervne kopije<\/a> su klju\u010dne za obezbje\u0111ivanje kontinuiteta poslovanja u slu\u010daju katastrofe ili kompromitovanja sistema. Organizacije treba da obezbijede da se podaci rezervnih kopija bezbjedno \u010duvaju van lokacije i da se mogu brzo vratiti u slu\u010daju nu\u017ede;<\/li>\n<li>Implementacija mehanizama autentifikacije u dva koraka (eng. <em>two-factor authentication \u2013 2FA<\/em>) pru\u017ea dodatni sloj bezbjednosti od neovla\u0161tenog pristupa osjetljivim sistemima i aplikacijama. Ovo uklju\u010duje kori\u0161tenje aplikacija za autentifikaciju, k\u00f4dova za autentifikaciju zasnovanih na <em>SMS<\/em> porukama ili drugih bezbjednih metoda verifikacije;<\/li>\n<li>Politike bezbjednih <a href=\"https:\/\/sajberinfo.com\/en\/2019\/02\/24\/lozinka-password-sifra\/\" target=\"_blank\" rel=\"nofollow noopener\">lozinki<\/a> su neophodne za spre\u010davanje zloupotrebe slabih lozinki od strane zlonamjernih aktera. Organizacije treba da implementiraju stroge zahteve za lozinke, uklju\u010duju\u0107i minimalnu du\u017einu, slo\u017eenost i intervale rotacije;<\/li>\n<li>Alati za analizu mre\u017enog saobra\u0107aja mogu se koristiti za pra\u0107enje mre\u017ene aktivnosti u realnom vremenu, identifikuju\u0107i potencijalne bezbjednosne prijetnje prije nego \u0161to postanu veliki incidenti. Ovi sistemi treba da budu integrisani u postoje\u0107u infrastrukturu za pra\u0107enje radi sveobuhvatne vidljivosti;<\/li>\n<li>Prakse bezbjednog skladi\u0161tenja podataka su neophodne za za\u0161titu osjetljivih informacija od neovla\u0161tenog pristupa ili kra\u0111e. Organizacije treba da primjene robusne tehnologije \u0161ifrovanja i bezbjedne mehanizme autentifikacije kako bi za\u0161titile sa\u010duvane podatke;<\/li>\n<li>Procedure reagovanja na incidente treba da budu razvijene i redovno testirane kako bi se osiguralo da organizacije mogu brzo i efikasno da reaguju u slu\u010daju velikog incidenta ili kompromitovanja sistema. Ovo uklju\u010duje uspostavljanje jasnih komunikacionih kanala, identifikovanje klju\u010dnih zainteresovanih strana i primjenu strategija zadr\u017eavanja.<\/li>\n<\/ol>","protected":false},"excerpt":{"rendered":"<p>Interlock RAT, u svojoj PHP varijanti, koristi se kao zlonamjerni softver koji KongTuke kampanja distribuira za ciljanje korisnika Windows operativnog sistema, pokazuje zajedni\u010dko istra\u017eivanje platforme The DFIR Report i kompanije Proofpoint. INTERLOCK RAT: NOVA&#46;&#46;&#46;<\/p>","protected":false},"author":1,"featured_media":8206,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[3307,3305,3306,3311,3310,3309,2943,3308,3313,3312],"class_list":["post-8205","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-hronike","tag-cloudflare-abuse","tag-interlock-rat","tag-kong-tuke-campaign","tag-landupdate808","tag-lateral-movement-tactics","tag-persistence-mechanisms","tag-phishing-scams","tag-php-based-attacks","tag-powershell-based-attacks","tag-tag-124"],"_links":{"self":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts\/8205","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/comments?post=8205"}],"version-history":[{"count":0,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts\/8205\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/media\/8206"}],"wp:attachment":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/media?parent=8205"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/categories?post=8205"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/tags?post=8205"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}