Группировка Interlock адаптирует инструменты и использует уязвимость в драйвере игрового античита для атак на образование

Первоначальный доступ к сети жертвы был получен 31 марта 2025 года через загрузчик MintLoader, который использовал уловки социальной инженерии (TAG-124). Команда PowerShell, исполненная на ноутбуке конечного пользователя, загрузила вредоносный JavaScript-пейлоад, известный как NodeSnakeRAT. Этот троянец обеспечил группировке точку опоры в сети. Для обеспечения устойчивости (persistence) было создано автоматическое задание в автозагрузке. В течение нескольких месяцев активность злоумышленников была минимальной, что, вероятно, связано с редким подключением зараженного ноутбука к корпоративной сети.

Новый этап атаки начался 5 сентября 2025 года, когда на внутреннем сервере приложений был обнаружен аналогичный NodeSnakeRAT. Группировка использовала этот доступ для развертывания более продвинутой версии своего бэкдора, известного как Interlock RAT. Этот вредоносный код использует сложную обфускацию, динамически извлекая строки во время выполнения, что затрудняет статический анализ. Interlock RAT собирает системную информацию, устанавливает обратный прокси SOCKS5 и предоставляет злоумышленникам интерактивную консоль для выполнения команд.

Для дальнейшего закрепления в системе использовались задачи по расписанию (scheduled tasks) с именами, маскирующимися под системные процессы. Злоумышленники провели разведку сети с помощью обфусцированного PowerShell-скрипта. Затем, 13 сентября, они сменили тактику и начали устанавливать на скомпрометированные рабочие станции легитимный инструмент удаленного доступа ScreenConnect, настроенный на связь с контролируемым доменом. Это позволило им удобно проводить последующий сбор и эксфильтрацию данных.

14 и 15 сентября операторы активно искали ценные файлы через графический интерфейс ScreenConnect и RDP. Для массовой выгрузки данных с файлового сервера они использовали утилиту AzCopy, экспортировав более 250 ГБ информации в облачное хранилище. После этого последовал значительный перерыв в активности. Команда FortiGuard Incident Response предполагает, что злоумышленники решили, что шантажа украденными данными будет недостаточно для выкупа, и переключились на шифрование.

Фаза шифрования началась 10 октября 2025 года. Сначала была атакована виртуальная среда на базе Nutanix. Злоумышленники получили доступ через SSH, перенесли и выполнили ELF-версию своего шифровальщика, зашифровав логические диски с расширением .!nt3rlock. Затем атака перекинулась на Windows-системы. Перед развертыванием шифровальщика операторы предприняли попытку отключить защитное ПО Fortinet с помощью нового инструмента, получившего название Hotta Killer.

Этот инструмент представляет собой троянскую DLL-библиотеку, которая динамически загружает в память вредоносный драйвер. Драйвер является переименованной версией драйвера игрового античита GameDriverx64.sys, уязвимой к CVE-2025-61155. Инструмент устанавливает этот драйвер в систему, а затем использует его для принудительного завершения процессов, имена которых соответствуют заданному шаблону, например Forti*.exe. Данная техника относится к категории BYOVD (Bring Your Own Vulnerable Driver - использование своего уязвимого драйвера). В данном случае попытка оказалась неудачной и не повлияла на работу защитного ПО.

Основной вредоносный пейлоад для Windows был реализован в виде файла JavaScript (jar.jar). Он использует гибридное шифрование: файлы шифруются симметричным алгоритмом AES, а уникальный AES-ключ каждого файла - асимметричным алгоритмом RSA с использованием жестко заданного открытого ключа. Для ускорения процесса применяется частичное шифрование больших файлов. Скрипт также исключает из обработки критические системные каталоги и расширения файлов, чтобы не нарушить работу системы.

Перед массовым развертыванием шифровальщика злоумышленники использовали собственный похититель данных (infostealer) move.dll. Этот инструмент копирует с удаленных компьютеров базы данных популярных браузеров, а затем извлекает из них сохраненные учетные данные, историю посещений, файлы cookies и закладки. Полученные данные сохраняются в CSV-файл. Вероятно, эта информация использовалась для проверки учетных данных перед автоматизированной атакой.

Массовое шифрование было проведено с помощью пакетного скрипта W_0.bat, который, используя скомпрометированные учетные данные администратора домена и утилиту PsExec, запускал PowerShell-скрипт на множестве компьютеров. Этот скрипт, в свою очередь, загружал и исполнял шифровальщик с общего сетевого ресурса. После завершения шифрования злоумышленники создали в домене около 5000 новых пользовательских учетных записей со случайными именами, что затрудняет восстановление.

Данное расследование наглядно показывает, как операторы Interlock постоянно адаптируют свои инструменты и тактики. При этом они продолжают использовать инфраструктуру, индикаторы компрометации (IOCs) которой уже были раскрыты в открытых источниках несколько месяцев назад. Это подчеркивает критическую важность проактивного поиска угроз и интеграции актуальной разведывательной информации в системы защиты для раннего выявления вторжений. Эксперты FortiGuard рекомендуют организациям, особенно в уязвимых секторах вроде образования, применять базовые, но эффективные меры: блокировать неавторизованное использование ПО удаленного доступа, запрещать прямое сетевое взаимодействие между рабочими станциями (SMB, RDP) и блокировать исходящие сетевые соединения из PowerShell для стандартных пользователей. Эти меры значительно усложняют жизнь злоумышленникам и создают дополнительные возможности для их обнаружения.

IPv4

• 128.140.120.188
• 138.199.156.22
• 146.70.79.43
• 157.250.195.229
• 168.119.96.41
• 177.136.225.135
• 212.237.217.182
• 216.219.95.234
• 216.245.184.181
• 37.27.216.30
• 45.61.136.109
• 64.190.113.235
• 66.85.173.36
• 91.92.241.179
• 91.98.29.99

Domains

• assets-msnds.org
• cf1-winows-ww.com
• champagne-businesses-hand-theta.trycloudflare.com
• dns-teams-windows.live
• eventsdatamicrosoft.org
• microsoft-iplcloud.com
• mortgage-i-concrete-origins.trycloudflare.com
• musicians-implied-less-model.trycloudflare.com
• nedy-throwing-knock-whats.trycloudflare.com
• oclc-publishing-individual-maps.trycloudflare.com
• periodic-priest-games-assessed.trycloudflare.com
• settings-datamicrosoft.org
• settings-win-datamicrosoft.org
• speak-head-somebody-stays.trycloudflare.com
• strain-brighton-focused-kw.trycloudflare.com
• sublime-tragedy-counties-sculpture.trycloudflare.com
• suffering-arnold-satisfaction-prior.trycloudflare.com
• sync-time-win.live
• time-syncmicrosoft.com
• trycloudflare.com
• una-idol-ta-missile.trycloudflare.com
• uncertainty-por-bubble-persian.trycloudflare.com
• user.kangaroosim.com

MD5

• 2646b82362c4e70c78fbb795643e76ca
• 2f17de0a21ee0ab24254d56b25f5679b
• 583d4a295c4ff7ae8bd4cb2085a39934
• 5fde28c141371cd60a7d1efad96ba2aa
• 8f0577d28c4ff5f71b149f444bfaba8e
• adf4976a229c70df5a404c45ef9f6680
• f66f2920c3094acd2e8352082aa6f2d6

SHA1

• 2d5f88c396553669bd50183644d77ad3c71d72bb
• 3b9b2d5934f9ed1e3a000a760a6fa90422e8a555
• 451a516dc9935d79b3b970b15a7891316dedec12
• 5e0807e6088bc107af2a1339682570d30350482d
• 6445e5ce51da03934395abb5411d3200d12ed7b3
• 7556ae58c215b8245a43f764f0676c7a8f0fdd1a
• ad77fbdbb2fcbdb440428eed3e76d106e1119fcf
• b0b63051f231bc2dcb67bec9ac8702177678fa39
• be39dbadfc9cfc494f1b7bf3a04e49c336e0fa0d
• d45df3d8063d56d9d109004b1f29cb3832c7548f
• f3c2bdb4484f66213556b2cd5f114ce4f4a9dd86
• f5c6bd4e9686afb0c4e7c1c1733febb4065d514f

SHA256

• 46f0e16d004c8e40d134580c21099073da47ac54dc0dfc5d3ef3aa46be1f1a11
• 55879a68f1e99391672473c5f06c079fc4ca9a637f7ce5e3ab1c6baa940c8023
• 7ed805c5fc3bd0a4eab3d523483a9cc83b8768ff667875f2318f3bfa4ef68fe2
• 9ddae47ff968343a8c32a5344060257fdc08e2a7bdb9a227c8b3a584ee3c9f1e
• b71dd73d9f32d9184f7b1801e5441c9b25ccf063130a049bb9e7e339fbe9a2e7
• b88605d7cb0501a26438b94b99479200a3088e2297a741e6dec3a4d4d44cd753
• e5205b7196f073e09b9a14a691e8bac9f4d99e5a95630e340fbc674419ff0008