
Siber güvenlik uzmanları, Eylül 2024’teki ilk görünüşünden bu yana operasyonlarını sessizce genişleten Interlock olarak bilinen sofistike bir fidye yazılımı tehdidi belirlediler.
Bu kötü amaçlı yazılım, şüphesiz kullanıcılara sahte tarayıcı güncellemeleri sunan meşru web sitelerinin uzlaşmasından başlayarak ayrıntılı bir çok aşamalı saldırı zinciri kullanır.
Kilitten etkilenen şirketler, Kuzey Amerika ve Avrupa’daki çeşitli sektörlere yayılmış ve bu da sektöre özgü hedefleme yerine fırsatçı bir hedef seçim yaklaşımını göstermektedir.
Birçok çağdaş tehditten farklı olarak, interlock bir hizmet olarak fidye yazılımı (RAAS) operasyonu olarak sınıflandırılamaz, çünkü işe alım iştirakleri için hiçbir reklam keşfedilmemiştir.
Grup, kurban verilerini açığa çıkardıkları ve müzakere kanalları sağladıkları “Dünya Çapında Sırlar Blogu” olarak adlandırılan bir veri sızıntısı sitesi tutuyor.
Devam eden operasyonlarına rağmen, Interlock daha az kurbanın – 2024 yılından bu yana, 2025’te sadece 6’sı da dahil olmak üzere, her biri sadece ilk çeyrekte yüzün üzerinde kurban iddia ettiği daha üretken fidye yazılımı grubuna uyduğunu iddia etti.
Sekoia Tehdit Tespit ve Araştırma (TDR) ekip analistleri, ortaya çıkmasından bu yana Interlock taktiklerinde önemli bir evrim tespit etmişlerdir.
.webp)
Operatörler araç setlerini geliştirdiler ve fidye yazılımı yüklerini dağıtmak için ClickFix gibi yeni teknikler eklediler ve Lummastealer ve Berserkstealer gibi yeteneklerini geliştirmek için ek araçlar kullanmanın yanı sıra.
İlk enfeksiyon vektörü, sosyal mühendisliğe dayanır ve kullanıcıları meşru tarayıcı güncellemeleri gibi görünen şeyi indirmeye ve yürütmeye çalışır.
Bu sahte güncelleyiciler, kurban tarafından manuel olarak başlatıldığında, aynı anda gömülü bir PowerShell arka kapı komut dosyasını çalıştırırken, gerçek meşru yükleyiciyi (Chrome veya MS Edge) indirip yürüten özenle hazırlanmış Pyinstaller dosyalarıdır.
Gelişmiş çok aşamalı enfeksiyon zinciri
PowerShell Backdoor, atanın ilk aşaması olarak çalışır ve belirlenen komut ve kontrol sunucularına sürekli olarak HTTP isteklerini yürüten sonsuz bir döngüde çalışır.
Bu komut dosyası, kullanıcı bağlamı, sistem detayları, çalışma işlemleri, hizmetler, mevcut sürücüler ve ağ yapılandırması gibi kapsamlı sistem bilgilerini toplar.
Toplanan veriler, GZIP ile sıkıştırılmadan ve C2 sunucusuna iletilmeden önce sabit kodlu bir anahtarla XOR şifrelemesine tabi tutulur.
Sürüm 1’den sürüm 11’e dönüşen bu PowerShell sıçanının birden fazla versiyonu gözlenmiştir.
Daha sonra yinelemeler, başlangıçta kötü amaçlı yazılımları yeniden başlatan kayıt defteri girişleri oluşturarak kalıcılık mekanizmalarını uygular ve C2 sunucusundan alınan keyfi Windows komutlarını yürütebilir.
.webp)
C2 altyapısı, çeşitli barındırma sağlayıcıları arasında dikkatli bir dağıtım yoluyla esneklik gösterir ve etki alanları genellikle bulutflare hizmetlerinden yararlanır ve farklı otonom sistemlere stratejik olarak tahsis edilen yedek IP adresleri.
2025’in başlarında, operatörler tarayıcı güncelleme lurs’larından güvenlik yazılımı güncelleyicilerine geçerek taktiklerini genişleterek, Forticlient, Ivanti Güvenli Access istemcisi, GlobalProtect ve diğer güvenlik ürünleri gibi görüntülendi.
Bu adaptasyon, grubun birçok güvenlik operasyonunun radarının altında çalışmaya devam ederken tekniklerinin devam eden iyileştirilmesini göstermektedir.
Malware Trends Report Based on 15000 SOC Teams Incidents, Q1 2025 out!-> Get Your Free Copy