Специалисты IBM X-Force опубликовали результаты долгосрочного исследования экосистемы программ-вымогателей, связанных с группировками Interlock (Hive0163) и Rhysida. Анализ охватывает более двух лет наблюдений за вредоносными семействами и криптерами. Эксперты сопоставили данные внутренней телеметрии с отчетами сторонних организаций. Полученные сведения проясняют отношения между брокерами первоначального доступа, авторами криптеров, загрузчиков и бэкдоров, используемых операторами обеих группировок.
Описание
Группа Interlock начала активные атаки с применением программ-вымогателей в сентябре 2024 года. В отличие от многих современных группировок, она не работает по модели RaaS (программы-вымогатели как услуга) и использует преимущественно собственные вредоносные инструменты. Среди них - загрузчик NodeSnake, бэкдоры InterlockRAT и Supper, а также загрузчик JunkFiction и собственно вымогатель Interlock с версиями для Windows и Linux. Группа Rhysida, напротив, функционирует как RaaS как минимум с мая 2023 года. Одни из связанных с ней операторов, отслеживаемые Microsoft как Vanilla Tempest, регулярно применяют загрузчик Endico, бэкдоры Broomstick и Supper, а также криптер Tomb.
По данным сайтов утечек, обе группы заявили примерно о 80 жертвах в 2025 году, причем большинство атакованных организаций находится в США. Основными целями Interlock стали промышленность, здравоохранение и государственные учреждения. У Rhysida доминирует государственный сектор, а также сферы образования и профессиональных услуг. Ранее выдвигались предположения о возможной связи между двумя группами. Например, специалисты Cisco Talos с низкой степенью уверенности оценивали Interlock как отделившуюся ветвь Rhysida из-за сходства в тактиках, методах и самих бинарных файлах вымогателей. Новые данные IBM X-Force предоставляют значительно больше доказательств, подтверждающих родство или тесную взаимосвязь разработчиков и операторов.
Одним из ключевых связующих звеньев выступает трафик-распределительная система (TDS), которая позволяет перенаправлять жертв с зараженного сайта на нужный вредоносный ресурс в зависимости от данных браузера. Эта TDS, отслеживаемая Recorded Future как TAG-124 (также известна как LandUpdate808 и KongTuke), активно используется как в атаках Interlock, так и ранее - в операциях Rhysida. В мае 2024 года через нее распространялся загрузчик Broomstick, зашифрованный криптером Dave и связанный с Rhysida. В сентябре того же года зафиксирована кампания с загрузчиком JunkFiction, ведущая к Interlock. В марте 2025 года через ClickFix-атаку (подмена легитимных обновлений) от TAG-124 доставлялся NodeSnake, а затем бэкдор Supper, что привело к инциденту с Interlock. Анализ общих жертв и сетевых соединений позволяет предполагать еще более тесные отношения между непосредственно операторами Interlock и владельцами этой TDS.
Важную роль в повышении скрытности атак играют криптеры - специализированные утилиты, шифрующие и сжимающие полезную нагрузку, чтобы обойти антивирусы и системы обнаружения. Каждая из рассматриваемых группировок предпочитает собственного поставщика криптеров. Interlock использует эксклюзивный криптер JunkFiction, которым шифруются их бэкдоры и непосредственно вымогатель. Vanilla Tempest (крыло Rhysida) полагается на криптер Tomb. При этом обе группы разделяют доступ к бэкдору Supper: в инцидентах Interlock он зашифрован JunkFiction, в инцидентах Rhysida - Tomb. Более того, Supper также наблюдался вместе с загрузчиками Broomstick, Endico и NodeSnake, что указывает на его широкое распространение среди ограниченного круга операторов.
Анализ кода нескольких вредоносных семейств выявил значительные пересечения. NodeSnake и InterlockRAT имеют общую кодовую базу - они часто встречаются в одной цепочке заражения, где NodeSnake выступает первоначальным загрузчиком, а InterlockRAT - полноценным бэкдором с функциями reverse shell и прокси SOCKS5. Бэкдор Supper, как показал реверс-инжиниринг, по сути является другой реализацией того же протокола и структуры команд. Все три семейства поддерживают варианты для разных платформ: Windows, Linux, JavaScript, Java, PHP. В недавно обнаруженном бэкдоре ModeloRAT, распространяемом через KongTuke, найдены прямые пересечения с NodeSnake, включая одинаковые магические байты для проверки расшифрованных данных и те же идентификаторы команд. Это дополнительно подтверждает теорию о едином разработчике или поставщике инструментария.
Исследователи также проанализировали содержимое промежуточных серверов, используемых операторами Interlock. На двух таких серверах обнаружился обширный арсенал - от легитимных утилит (AZCopy, ConnectWise ScreenConnect, NodeJS) до кастомных эксплойтов. Среди примечательных находок - JunkFiction-шифрованный инструмент для кражи паролей Chrome, эксплойт для локального повышения привилегий CVE-2023-36036, а также фишинговая программа, имитирующая обновление Windows для перехвата учетных данных. На сервере также найдена кастомная политика Windows Defender Application Control (WDAC), которая разрешает выполнение только тех файлов, которые используют злоумышленники (в частности, Node.exe и Javaw.exe), и одновременно блокирует Smartscreen, Microsoft Defender и продукты Sophos. Сама политика имеет характерные строки, совпадающие с атрибутами файлов JunkFiction, а сам зашифрованный бинарник вымогателя Interlock носит имя "Tabasco".
Совокупность фактов - общий TDS, пересечение в использовании Supper, кодовая близость NodeSnake, InterlockRAT и криптера JunkFiction - указывает на прямую связь или общее происхождение разработчиков Interlock и Rhysida. Характер этих отношений пока неясен: возможно, это одна команда, разделившаяся на две ветви, или поставщик инструментов, обслуживающий разных заказчиков. Рост популярности генеративных нейросетей еще больше усложняет картину: появление AI-сгенерированного вредоносного кода снижает порог входа для новых злоумышленников и размывает границы между специализированными группами. Специалисты IBM X-Force продолжают мониторинг этого высокодинамичного сегмента киберугроз и обещают публиковать новые подробности по мере развития событий.
Индикаторы компрометации
IPv4
- 107.21.138.150
- 140.82.6.45
- 144.172.94.59
- 144.172.99.68
- 144.202.41.73
- 146.70.101.96
- 146.70.149.47
- 149.56.95.167
- 157.180.43.29
- 157.250.195.229
- 158.247.252.178
- 162.221.93.164
- 167.235.234.45
- 170.168.103.208
- 172.86.68.175
- 185.196.9.234
- 185.28.119.10
- 188.245.41.78
- 192.169.6.74
- 193.149.176.215
- 193.187.151.190
- 193.36.38.139
- 198.13.158.219
- 199.217.99.121
- 199.217.99.95
- 199.91.221.250
- 199.91.221.73
- 205.196.80.86
- 213.232.236.139
- 216.219.95.234
- 23.227.202.200
- 23.227.202.246
- 23.227.202.6
- 23.227.202.84
- 23.227.203.12
- 23.227.203.52
- 37.27.244.222
- 45.76.241.51
- 45.84.59.21
- 46.225.231.170
- 5.230.201.173
- 64.94.84.155
- 64.94.85.158
- 65.108.52.240
- 65.109.226.176
- 69.169.109.132
- 89.167.83.8
- 91.236.230.205
- 91.98.169.61
- 91.98.29.99
- 95.216.218.17
IPv4 Port Combinations
- 128.140.55.152:443
- 159.65.0.17:443
- 185.233.166.26:8443
- 194.61.120.130:443
- 213.232.236.211:80
- 37.72.168.146:53
- 38.132.122.155:443
- 38.134.148.147:443
- 51.222.96.58:1080
- 51.222.96.58:4043
- 51.222.96.58:8080
- 95.169.180.113:80
Domains
- aaa.load-edge-service.com
- albany-motels-visibility-bus.trycloudflare.com
- apple-online.shop
- apt.deyno-xom.com
- auth-ms-service.org
- auth-ms-service.site
- baseline-include-priority-bar.trycloudflare.com
- bits-promotions-turned-editions.trycloudflare.com
- browser-updater.com
- browser-updater.live
- carlo-payment-bullet-grocery.trycloudflare.com
- cigarette-assumed-biotechnology-checklist.trycloudflare.com
- clouds.forever-size.com
- coffee-lloyd-families-excluded.trycloudflare.com
- confident-accounts-ban-damaged.trycloudflare.com
- corner-teacher-guam-characterization.trycloudflare.com
- country-character-how-charging.trycloudflare.com
- default.ms-updated-service.com
- describe-absent-operational-seventh.trycloudflare.com
- dev.konowe-sodo.com
- dex.nomok-xore.com
- donnellykilbakk.cc
- dpf.nomok-xore.com
- edinburgh-packaging-sense-idol.trycloudflare.com
- eugene-examinations-contained-timber.trycloudflare.com
- firist.ms-updated-service.com
- first.best-default-server.com
- fix.connecter-edge.com
- glasgow-thank-del-heard.trycloudflare.com
- heap.best-default-server.site
- jane-practitioner-lightning-preservation.trycloudflare.com
- johnny-republicans-muscles-partners.trycloudflare.com
- kolinhumercianali.org
- lamp-voters-biodiversity-phillips.trycloudflare.com
- last.best-default-server.org
- liabilities-complications-discussing-temporal.trycloudflare.com
- liverpool-patterns-lanes-specified.trycloudflare.com
- locals.best-default-server.com
- mail.best-default-server.site
- mail.load-edge-service.com
- mailed.load-edge-service.com
- mails.alomo-pofo.org
- maines.forever-size.com
- medhurstwaelcci.net
- meet-noted-tax-qualification.trycloudflare.com
- misc-elliott-mouth-leading.trycloudflare.com
- moore-cgi-pen-drove.trycloudflare.com
- ms-sql-auth.com
- muscle-european-entering-bigger.trycloudflare.com
- nelavohomet.com
- nimoloxanulokol.com
- no-global.qomaun-upd.com
- orearch.giver-tuyk.org
- os-update-server.com
- os-update-server.live
- os-update-server.org
- os-update-server.top
- postal-ssl-converted-quantity.trycloudflare.com
- reduce-highest-acknowledge-apparent.trycloudflare.com
- repair-provision-supplies-folder.trycloudflare.com
- rpm-chicken-during-staying.trycloudflare.com
- screenshots-executive-joins-hammer.trycloudflare.com
- second.ms-updated-service.com
- secure.connecter-edge.com
- secured.best-default-server.org
- sos.konowe-sodo.com
- specials-storm-height-warriors.trycloudflare.com
- ssh.qomaun-upd.com
- status.connecter-edge.com
- survivors-troops-interesting-learned.trycloudflare.com
- time.konowe-sodo.com
- tmp.alomo-pofo.org
- typically-performer-builds-increasing.trycloudflare.com
- updt-ms-srv.com
- updt-ms-srv.org
- updt-ms-srv.site
- updt-ms-srv.top
- utility-include-clubs-measurement.trycloudflare.com
- www.deyno-xom.com
- www.forever-size.com
- www.nomok-xore.com
- year.giver-tuyk.org
- yum.deyno-xom.com
URLs
- https://hire-household-squad-postcard.trycloudflare.com/MSTeamsSetup.exe
- https://leadslaw.com/MSTeamsSetup.exe
- https://microsoft-teams.icu/files/MSteamsV7.80.exe
SHA256
- 0708a518ef644a3911a717220706190fbd5e5246c533845887c5fbd967953799
- 082a6286953c0f4256751f1c9bf4c06d4c14fc63f601a78e2f70f7ebd42821cb
- 097f139304307375cd41bb2dc3913166e9f05f0d6bf5aad1efdc081dbf07c68d
- 0e13ca9e55fbe5ae323f7f295dde8d68aaca3e2c737999174691bee77525de99
- 0edfad6a8b34b2b419fd254a99394b8f2303d144dbeba7148ef5343e2929fe76
- 1192381230fce07ef3f2a86ce746c71f22a7e0b97eea7560a38337844e8f3041
- 12b86190ab3fb916b8901d82fbe996f43417ffa5736df5294a63a440758f158e
- 16474e9e4773fbc1e0b48a5025fad31b7f084b1beffb9a42687b4d01979885fe
- 21d9ed48d51a5b5edae7eb7f99d1648a3ce7d419bc46234143c37dec4638c60d
- 2528df60e55f210a6396dd7740d76afe30d5e9e8684a5b8a02a63bdcb5041bfc
- 27091704a872d9ebbbc3b4273a365b1fcc8dee36e1e8a7b53f6df017a26812ff
- 28a9982cf2b4fc53a1545b6ed0d0c1788ca9369a847750f5652ffa0ca7f7b7d3
- 333903c7d22a27098e45fc64b77a264aa220605cfbd3e329c200d7e4b42c881c
- 396eb0e817d90cf366b5648f9a97c51bfb37737af13dc4a9e1a768885a867dc5
- 41b6815d187a9bd7284fb0919b814eaf310d55452030eb932b32b27b5c473e26
- 43f4ca1c7474c0476a42d937dc4af01c8ccfc20331baa0465ac0f3408f52b2e2
- 47363515fbf02bb669f72adfdc1e52c6cdcb4fc4183832a96b5761b6d95f016c
- 4e4a3751581252e210f6f45881d778d1f482146f92dc790504bfbcd2bdfa0129
- 4fa8d9a20ce9098eddc065cc427e3ccb035bf3306e236c17a67104d79ca040e0
- 4fe36d2cdb90cadd834ecd6d42269e7406b439788a405bca35f0b9f7640e008a
- 5070ad8f45e6ee70e1b8a4fdbf78b2c823ca2c47a817fc29b5042b15880f92d9
- 55a02d14de13134e77eb9cc787ac622791b38b74931d1588bb5750b06951c8c0
- 5811d60e80a6051ab3bd2651060fce8f1ea8d446a062625b0d2b55bb7b2bad99
- 5b7ee3d9f851363d4291689f9ac1a02e18ea024c7ab28009b032a60701639a5d
- 604f7aa77a14f07baa21e76b73ceb7970037bfbdcc2040bf2e445702e99587a0
- 6190923b28679eb8230010aff9b1d1a4184e8697540cc021a5be38126f3f6d99
- 64a0ab00d90682b1807c5d7da1a4ae67cde4c5757fc7d995d8f126f0ec8ae983
- 66f9c0eb64db7fac127d3d6d2a5a65de6b00bf2b78146a5acecdba2c628b1753
- 690b6cf4205248a3fc5521762c69a24f46958e57621dc97b031e41ec1f381221
- 705127c9730dcdebfa0f30103952107098d164d1941c400ea1f3ff454951c225
- 72bed9b26a7747252156b65d24a9a737d70b9bf6aca069c514c1c7b9e04ef9b6
- 7389c2d346ef85e469a5ce47ef4cbf55bf3c58075996b8f5596e15fa257d90ad
- 7890b116d13a52efe696ce1e2c0ed83029775cf4bea836ce551e71d222ee116f
- 7d13460fb3a6c918bd9866e1209fbcd18603304c35240f22571c432c204dc363
- 7ed805c5fc3bd0a4eab3d523483a9cc83b8768ff667875f2318f3bfa4ef68fe2
- 83b32b8cf59dbd718d04749fd05f78e9ac8efdb0ffec5dc219a010f124937e6a
- 84d824231a73df2bfb1793d251f69b30fe32bba0693ff6471ac410dedbdd1d9a
- 85b8522ab6252a67c812bcfbe3adce392ce715b14cdeaf34d5102d3634d69433
- 89759f741606e3e9e3004978c08a3d8f5d8a887f13dd749c6a3653d9db9283df
- 8cc335a675f86c691ae04f31b4098fc5761d4e41abfdcbdf3c1016c9e9440490
- 8e2a3f32479404e195db7dbfd6ae3117122db0fcedccf7fe6abb087763f3ecf2
- 913487d5c4514300e1f774af965d046479f0a6612061bcb82b536c7427a49102
- 9422d19bca175bf0727336b6ed5bef01c81e5a80dfdaebf4d7cde9ebfb4ef44e
- 966908e8863bb78cdd66d29f1d425578cdd2035b6045b86fd8418bfde5e34986
- 9a0b069640a404939e48af5acec26c922bae44a8fdf26444f20ee4f7989640bc
- a07ddb6d55f122b056d594fd2efaadacdcb2eab6f65e6f0766684773300a7859
- a4d0ea40eb9cdcd2da83afbe4d36a634ac85c2cb6d16a83729791cadfeb1f298
- a9b68f8e125da256ab5fe48e3bb4a72423927d943fe7502e20915b5ad24a5bc2
- aa6e5529831b62cb27211b4918dd6da15ac7e69dbcc8621671dccf6df151c5a2
- b0e292346b4ab3f83fadd8abcce7cfc5b9d50ef73ad141e8bc4a4689fee13504
- b1444193923ca6f71c70c6a45011378ef00459c8a0795da6e1637ef74a24facb
- b204d00dd01da0408978e4101479efbdc977e84ad4a99cdbfd4a3364df964dd0
- b46a3f9a7917a0b0e08979f85c90ff802a3e96d23a19a8727d9d701d5e2088eb
- b659389cde06f5e01e592dca458fe1be07a302c40dc2a820c7f76d4ee788bad3
- b7b451db845d2fd97996e765156ab9b0a337f58957803896bef72834d8a4d158
- bc2b7627c5e02e5d8c6311955f1a5c09c62b511aba87b90e493c59c7d360c263
- c15f44d6abb3a2a882ffdc9b90f7bb5d1a233c0aa183eb765aa8bfba5832c8c6
- c24cb7692b77123387b821f3683966807662217a4c918c32bb97358729c33a1d
- c8347069980e0c7b8d42cbf0f2be7bc6e558f8b6cf7ca960f6454926120adf55
- c96f1812e0a2d520e6e46e0ec6cd9ba8b5735c57847bea8634b017b7ed8dd8ce
- c9920e995fbc98cd3883ef4c4520300d5e82bab5d2a5c781e9e9fe694a43e82f
- d0c1662ce239e4d288048c0e3324ec52962f6ddda77da0cb7af9c1d9c2f1e2eb
- d1caa376cb45b6a1eb3a45c5633c5ef75f7466b8601ed72c8022a8b3f6c1f3be
- dbc316c240067d5495415fca6b8fec28b0d9e41282919d7d124fc645e15f5d4c
- dc3c1616b70ab3a8b9c25e46fa00f04e18364909ca7ed5b2698f58918e0ccef3
- dea7885448e9a75ab45bd0b08a01f548c37e7d012cd519c4b8a85941d359e26b
- ea1a0bb1bc5eb31b85675dc91370ee26a8bc6571b0c21a8fc5faa58e67fa01ac
- ec90465dbe3e2846be394bc2d76ddffdee4834086bcc65a6f43535f51333a7d5
- ee3e0a9f2b04ebd4badd04e2ce6d4b24a1d0811c1c51e86d147d38919ef8b90f
- f34cfdc950124d26b4f2f99b192a4ab7a4163af3143c3b18bc2271ca08d6c899
- f962e15c6efebb3c29fe399bb168066042b616affddd83f72570c979184ec55c
- ff664520f263e30ee0380e496328a93701576f1312d2e33a70297a228a8a49a6