Группа InterLock: двухлетняя эволюция гибридного программного-вымогателя с многоязычным бэкдором и слабым шифрованием

Операция InterLock нацелена на критически важные секторы, включая здравоохранение, образование, государственные учреждения и крупный бизнес в различных странах, что в июле 2025 года побудило Агентство по кибербезопасности и инфраструктурной безопасности США (CISA) выпустить рекомендации для организаций. Исследуемые образцы, датированные периодом с октября 2024 по февраль 2026 года, не являются следствием единой цепочки вторжения, а представляют собой срез инструментария группы в определённый момент времени. В него входят четыре MSI-установщика для легитимного ПО удалённого доступа ScreenConnect, используемые для первоначального проникновения, три реализации бэкдора NodeSnake на JavaScript, Java и C++, сборщик учётных данных NTLM и четыре бинарных файла программ-вымогателей. Атрибуция всех этих компонентов одной группе основана на перекрывающейся инфраструктуре и общем коде, что указывает на централизованную разработку.

Начальным вектором атаки служат MSI-пакеты, устанавливающие клиент ConnectWise ScreenConnect версии 25.2.4.9229. Все четыре образца развёртывают идентичную полезную нагрузку из 14 файлов, а их различия сводятся к параметрам запуска и меткам, таким как "office", "superdental" и "internal", что предполагает таргетирование различных организаций или отделов. Примечательно, что один из установщиков был подписан действительным сертификатом кодовой подписи, выданным южноафриканской организации UMNOTHO SOFTWARE SA CC, что повышало его доверительность. После установки клиент ScreenConnect подключается к управляемым злоумышленниками хостам, открывая дверь для последующего развёртывания бэкдоров.

Сердцем операций InterLock по сохранению доступа является семейство бэкдоров NodeSnake. Его уникальность заключается в реализации одного и того же протокола на трёх разных технологических стеках: JavaScript для Node.js, Java и нативный C++. Все три версии используют одинаковое RC4-шифрование для фрейминга сообщений, одинаковый четырёхбайтовый префикс инициализации (92 01 88 FE), идентичный формат профилирования хоста, собирающий восемь полей информации о системе, и, что наиболее важно, одни и те же три IP-адреса для командного центра (C2). Это демонстрирует высокий уровень стандартизации в разработке группы. Транспортный уровень построен на WebSocket-соединениях, которые в скриптовых версиях проходят через бесплатные туннели Cloudflare (домены trycloudflare[.]com), выступающие в роли одноразовых ретрансляторов, с откатом на хардкодированные IP-адреса на хостинг-провайдерах в США и Германии. Нативная C++ реализация, извлечённая из обфусцирующих оболочек, добавляет расширенные возможности, такие как туннелирование TCP-трафика, внедрение кода в работающие потоки и проверки на наличие отладчика.

Связующим звеном между бэкдорами и шифровальщиком выступает общий фреймворк обфускации, так называемый "криптер". Анализ показал, что одна и та же последовательность байт XOR-дешифрующего цикла присутствует как в оболочках, скрывающих NodeSnake на C++, так и в оболочке Windows-версии программы-вымогателя. Это прямо указывает на общий конвейер сборки. Сам шифровальщик InterLock использует, на первый взгляд, стойкую схему: файлы шифруются алгоритмом AES-256-CBC, а уникальные для каждого файла AES-ключи затем шифруются с помощью RSA-4096 с заполнением OAEP. Однако фундаментальная уязвимость кроется в генераторе псевдослучайных чисел. Как в вариантах для FreeBSD/ESXi (формат ELF), так и для Windows, для создания AES-ключей используется комбинация "rand() XOR clock()". Функция "clock()" возвращает время процессора, затраченное программой, что значительно сужает пространство возможных ключей. При наличии приблизительного времени запуска шифровальщика теоретически возможен перебор, делающий восстановление файлов без ключа дешифрования более реалистичным, хотя и не тривиальным. Windows-версия, распространяемая под именем matrix.exe, дополнительно включает функции для очистки журналов событий через "EvtClearLog" и создания заданий в планировщике для повторного выполнения.

Эксперты, проводившие анализ, отмечают, что вся инфраструктура C2, включая три основных IP-адреса, оставалась незамеченной основными платформами угроз на момент проверки в марте 2026 года, что свидетельствует о тщательной оперативной безопасности со стороны группы. Тем не менее, слабость в криптографической реализации представляет собой редкий просчет в иначе технически продвинутой операции. Для организаций из целевых секторов защита от подобных угроз требует комплексного подхода: строгого контроля за установкой любого ПО, особенно связанного с удалённым доступом, мониторинга сетевых соединений на предмет аномальных WebSocket-подключений к внешним сервисам, а также регулярного создания и изоляции критически важных резервных копий данных. Обнаружение общего байтового шаблона в криптере или сетевого трафика, соответствующего протоколу NodeSnake, может стать ключевыми индикаторами компрометации на ранних стадиях, до запуска разрушительного этапа шифрования.

IPv4

• 172.86.68.64
• 23.227.203.123
• 77.42.75.119

Domains

• 23-227-203-123.static.hvvc.us
• 64.68.86.172.static.cloudzy.com
• bridal-custody-private-bodies.trycloudflare.com
• chronic-dividend-amendments-das.trycloudflare.com
• communist-flying-provision-calendar.trycloudflare.com
• electrical-protect-molecular-underground.trycloudflare.com
• flowmiceornfidgring.cc
• forget-canal-chancellor-mas.trycloudflare.com
• gzip-picked-istanbul-maple.trycloudflare.com
• logan-practitioners-percent-cartridges.trycloudflare.com
• module-source-tree-diverse.trycloudflare.com
• offers-listing-screenshot-alpha.trycloudflare.com
• partyglacierhip.top
• planners-mixing-edmonton-endless.trycloudflare.com
• playback-attributes-interviews-processing.trycloudflare.com
• safe-accepted-salem-early.trycloudflare.com
• silk-lift-porter-correctly.trycloudflare.com
• static.119.75.42.77.clients.your-server.de
• wives-bufing-humans-prot.trycloudflare.com
• yen-hansen-cartoon-aims.trycloudflare.com

Onion Domains

• ebhmkoohccl45qesdbvrjqtyro2hmhkmh6vkyfyjjzfllm3ix72aqaid.onion

SHA256

• 0708a518ef644a3911a717220706190fbd5e5246c533845887c5fbd967953799
• 0870c0136c0b7092dc79f3169f58a6e32011743586a18ed8a300010f34c2d44d
• 0b92b60be728961d4af818290880d0f1178314bee94482facedb89b6168cc783
• 1794e4b1d961bc7fde7b60f4d90e54162e641ec2433574194118a84953e3bc6c
• 21d9ed48d51a5b5edae7eb7f99d1648a3ce7d419bc46234143c37dec4638c60d
• 2470fd1ea4d64caa4e162f382775ad9d1c9ae7dcc25020497dc8a4b50ac411a8
• 28c3c50d115d2b8ffc7ba0a8de9572fbe307907aaae3a486aabd8c0266e9426f
• 396eb0e817d90cf366b5648f9a97c51bfb37737af13dc4a9e1a768885a867dc5
• 4a738a947f4e4b22f36b532a2b7a3af1ae0fe7481d954d467eae80dd765efab6
• 5a0d393de439aebc236a87f3ff18c89c5634f8b7b9331c54986b113b75e8df7f
• 5a499038069af6abe8212d2acb71655fe20b08d7a3150c438f00d81e9043c422
• 6c8efbcef3af80a574cb2aa2224c145bb2e37c2f3d3f091571708288ceb22d5f
• 85030b66cb1558a2c1eb249b0c6b1407d393ba996cb96be499efeaf487c97f55
• a26f0a2da63a838161a7d335aaa5e4b314a232acc15dcabdb6f6dbec63cda642
• c9882720ac7095d416d2f80cf997b55217e06fb597e84f30a4a38027be30467e
• e86bb8361c436be94b0901e5b39db9b6666134f23cce1e5581421c2981405cb1
• f00a7652ad70ddb6871eeef5ece097e2cf68f3d9a6b7acfbffd33f82558ab50e
• fb68797872dedd29a86db18ca41350155249718b3b0372e1985c980d4e09edf9