Interlock fidye yazılımı çetesi, kurumsal ağlara kalıcı erişim için eğitim enstitülerine karşı Nodesnake adlı daha önce belgelenmemiş bir uzaktan erişim Truva atı (sıçan) kullanıyor.
Quorumcyber araştırmacıları, Ocak ve Mart 2025’te İngiltere’de üniversiteleri hedefleyen en az iki vakada Nodesnake’in dağıtımını gördüğünü bildiriyor.
İki kötü amaçlı yazılım örneği önemli ölçüde farklılık gösterir, bu da Nodesnake’e yeni özellikler ve yetenekler eklemek için aktif geliştirmeyi gösterir.
BleepingComputer tarafından ilk olarak bildirildiği gibi, Interlock Eylül 2024’te başlatılan bir fidye yazılımı grubudur. Daha önce Texas Tech Üniversitesi, Davita Böbrek Diyaliz Firması ve Ohio’daki Ketting Health Medical Network’ü hedeflemiştir.
Tehdit grubu, başlangıç enfeksiyonu ve ağ infiltrasyonunu elde etmek için BT araçlarını taklit eden ‘ClickFix’ saldırılarından yararlanır.
Yeni nodesnake faresi kötü amaçlı yazılım
Interlock’un eğitim kurumlarına yapılan son saldırıları, nodesnake faresi enfeksiyonlarına yol açan kötü niyetli bağlantılar veya ekler taşıyan kimlik avı e -postalarıyla başlar.
Nodejs ile yürütülen JavaScript kötü amaçlı yazılım, Google Chrome’un güncelleyicisini taklit etmek için ‘ChromeUpdater’ adlı aldatıcı bir kayıt defteri girişi yazmak için PowerShell veya CMD komut dosyalarını kullanarak enfeksiyon üzerinde kalıcılık oluşturur.
Kaçma için, kötü amaçlı yazılım müstakil bir arka plan işlemi olarak çalışır, dosya adları ve yüklere rastgele adlar atanır ve komut ve kontrol (C2) adresleri randomize gecikmelerle çevrilir.
Ayrıca, kötü amaçlı yazılımlar ağır kod gizlemesi, haddeleme anahtarı ve rastgele tohumlarla xor şifrelemesi içerir ve normal hata ayıklama çıktısını bozmak için konsol kurcalaması gerçekleştirir.
C2 IP adresi sabit kodlanmış olmasına rağmen, bağlantı, gizleme için Cloudflare’ye uygun alanlar aracılığıyla yönlendirilir.
Enfekte edilmiş makinede aktif olduktan sonra, kullanıcı hakkında önemli meta veriler, işlemler, hizmetler ve ağ yapılandırmaları çalıştırır ve C2’ye söndürür.
Kaynak: Quorumcyber
Kötü amaçlı yazılım aktif işlemleri öldürebilir veya cihaza ek exe, dll veya javascript yükleri yükleyebilir.
Yeni Nodesnake varyantı ayrıca CMD komutlarını yürütebilir ve C2 yoklama davranışını dinamik olarak değiştirmek için ek modüller kullanabilir. Komut sonuçları, gerçek zamanlı kabuk etkileşimine izin vererek, söndürülmüş veri paketlerinde paketlenir.
Kaynak: Quorumcyber
Nodesnake’in varlığı ve sürekli gelişimi, Interlock’un sürekli evriminin ve uzun vadeli gizli kalıcılığa odaklanmanın bir göstergesidir.
Bu tehdit için uzlaşma göstergelerinin tam listesi, Quorumcyber raporunun altında mevcuttur.
Bunların izlenmesi, veri açığa çıkması ve şifreleme aşamasına geçmeden önce fidye yazılımı saldırılarını erken engellemeye yardımcı olabilir.
14 metrelik kötü niyetli eylemlerin analizine dayanarak, saldırıların% 93’ünün ve bunlara karşı nasıl savunulacağının arkasındaki en iyi 10 MITER ATT & CK tekniklerini keşfedin.