複数ライセンス割引見積
脅威データベース リモート管理ツール Interlock RAT

Interlock RAT

リモート管理ツール, 高度な持続的脅威 (APT), ランサムウェアMezoまで
翻訳内容:

Interlockランサムウェア攻撃を仕掛けるサイバー犯罪者は、独自開発のリモートアクセス型トロイの木馬(RAT)であるInterlock RAT(別名NodeSnake)のPHP亜種を新たに開発し、活動を強化しています。この強化された脅威は、FileFixと呼ばれる進化した配信メカニズムを用いた広範な攻撃キャンペーンで確認されています。FileFixは、従来から知られているClickFix手法から派生したものです。この展開は、同グループの攻撃戦略に大きな変化をもたらし、攻撃範囲の拡大と技術の高度化を示唆しています。

ステルス的な侵入:スクリプトインジェクションとトラフィックリダイレクト

2025年5月から活動しているこのキャンペーンは、侵害されたウェブサイトのHTMLコードに、一見無害に見える1行のJavaScriptスニペットを埋め込むことから始まります。このスクリプトはトラフィック分散システム(TDS)として機能し、IPベースのフィルタリングを用いて標的の訪問者を偽のCAPTCHA認証ページにリダイレクトします。これらの不正なページは、ClickFixベースのルアーを用いてユーザーを誘導し、悪意のあるPowerShellスクリプトを実行させます。その結果、Interlock RATがインストールされ、攻撃者は被害者のシステムへの足掛かりを得ます。

FileFix: 武器化された配信イノベーション

2025年6月に確認された最新のキャンペーンでは、ClickFixのより高度なバージョンであるFileFixが主要な感染ベクトルとして使用されていることが確認されました。FileFixは、Windowsファイルエクスプローラーのアドレスバーを悪用し、ソーシャルエンジニアリングによってユーザーに悪意のあるコマンドを実行させます。2025年6月に概念実証として実証されたFileFixは、現在ではInterlock RATのPHP亜種を配布するために実用化されており、場合によっては、この展開が、より従来型のNode.jsベースの亜種のインストールの前兆となることもあります。

多段式ペイロードとステルス機能

Interlock RATは展開されると、ホストの偵察とJSON形式のシステム情報の窃取を開始します。権限レベル(USER、ADMIN、SYSTEM)を確認し、リモートコマンドアンドコントロール(C2)サーバーとの接続を確立します。追加のペイロード(EXEファイルまたはDLLファイル)が取得され、実行されます。

  • 永続化メカニズムには次のものがあります:
  • スタートアップ実行を維持するために Windows レジストリを変更します。
  • リモート デスクトップ プロトコル (RDP) アクセスによる横方向の移動を可能にします。

さらに、注目すべき回避手法として、Cloudflare Tunnelのサブドメインを利用してC2サーバーの実際の場所を隠すという手法があります。ハードコードされたIPアドレスは、トンネルが切断された場合に接続を維持するためのバックアップとして機能します。

脅威の追跡:過去の標的と現在の動機

2025年初頭、Interlock RATはNode.jsの亜種を利用して、英国の地方自治体や教育機関への攻撃に関与しました。しかし、近年、一般的なWeb開発言語であるPHPへの移行が見られたことは、より幅広い業界を標的とした、より日和見的なアプローチを示唆しています。PHPへの移行は、脆弱なWebベースのインフラストラクチャを悪用する可能性のある、感染ベクトルを拡大するという戦術的な決定を示唆しています。

キャンペーンの主要指標

被害者とサイバーセキュリティ担当者は、Interlock の最新の活動における以下の特徴に注意する必要があります。

初期攻撃ベクトル:

  • 正当だが侵害された Web サイトへの単一行の JavaScript インジェクション。
  • IP フィルタリングを使用して偽の CAPTCHA ページへリダイレクトします。

感染後のマルウェアの動作:

  • ホストの偵察と JSON 形式のシステム情報の流出。
  • 権限チェックとリモートペイロード実行。
  • レジストリベースの永続性と移動のための RDP の活用。

結論: インターロックグループの脅威プロファイルの拡大

Interlock RATのPHP亜種の出現は、同グループの多様化と、防御対策を常に先取りしようとする意図の高まりを物語っています。Webスクリプティングとネイティブシステム機能の両方を活用することで、Interlockの攻撃者は従来のマルウェア配信と、日常的なシステム機能の独創的な悪用との境界を曖昧にしています。セキュリティチームは警戒を怠らず、このような進化する脅威を検知・ブロックするために、多層防御を導入する必要があります。

トレンド

Gerolaxの暗号通貨詐欺

不正なウェブサイト
デジタル金融が進化を続けるにつれ、それを悪用する詐欺も進化を続けています。サイバー犯罪者は、ソーシャルエンジニアリング、ディープフェイク、そして暗号通貨の分散型の性質を巧妙に利用して不正行為を実行するなど、その手口はますます巧妙化しています。Gerolax Crypto Scamは、合法的な暗号通貨取引プラットフォームを巧妙に偽装した、まさに欺瞞的なスキームの一つです。特にリスクの高い暗号通...

注文詐欺

マルウェア, フィッシング, スパム
デジタル時代において、メールは依然として最も一般的なコミュニケーションツールの一つであると同時に、最も悪用されるツールの一つでもあります。オンラインで蔓延する無数の悪質なメールキャンペーンの中でも、いわゆる「注文依頼詐欺」は、サイバー犯罪者が欺瞞とソーシャルエンジニアリングを駆使してマルウェアを拡散し、被害者のシステムに侵入する手法を如実に示しています。このキャンペーンは、説得力のあるメッセ...

Wild Nature

望ましくない可能性のあるプログラム, ブラウザハイジャッカー
オンラインセキュリティがかつてないほど重要になっている現代において、ユーザーは潜在的に迷惑なプログラム(PUP)のような侵入型ソフトウェアに常に注意を払う必要があります。一見無害に見えるこれらのツールは、便利なユーティリティを装い、気づかれずにデバイスに侵入することがあります。しかし実際には、ブラウザの機能を妨害したり、ユーザーの行動を追跡したり、疑わしいコンテンツや詐欺にユーザーをさらした...

最も見られました

「プリンタドライバが利用できません」エラーを修正する方法

問題
59,383
プリンターは、ユーザーが最も必要としているときにいつでもジョブを実行することを拒否することで有名です。幸いなことに、お使いのプリンターに「プリンター ドライバーは使用できません」というエラーが表示されている場合は、問題を解決できる簡単な解決策がいくつかあります。この特定のエラーは、破損したドライバー ファイル、古いドライバー、またはドライバーの非互換性が原因である可能性があります。 Micr...
画面を共有するとDiscordが黒い画面を表示するスクリーンショット

画面を共有するとDiscordが黒い画面を表示する

問題
46,461
最初に立ち上げられたとき、Discord はゲーム コミュニティ向けの VoIP プラットフォームでした。しかし、その後数年間でその範囲を拡大し、多数の新機能を追加し、最大のソーシャル プラットフォームの 1 つになり、月間アクティブ ユーザー数は 1 億 4000 万人を超えました。現在、ユーザーはプライベート インスタント メッセージを送信したり、VoIP やビデオ通話を開始したり、コン...

Discord 灰色の画面で立ち往生

問題
45,885
時々、Discordアプリケーションを使用している間、ユーザーは灰色の画面で立ち往生するかもしれません。この問題は、アプリケーションのストリーミング中または単にロード中に発生する可能性があります。これが発生し、それを修正する方法がわからない場合は、次の解決策を試してください。 画面モードの切り替え 原因が視覚的な不具合であり、それ以上深刻なものがない場合は、全画面モードや小画面オプションを有...
読み込んでいます...