Esante Tehdit Yanıt Birimi (TRU) tarafından Temmuz 2025’te yayınlanan yakın tarihli bir rapora göre, Interlock fidye yazılımı grubu Kuzey Amerika ve Avrupa’daki firmaları hedefleyen çeşitli siber olaylara bağlandı.
Eylül 2024’ten bu yana aktif olan grup, kurbanları ClickFix sayfalarına yönlendirmek için Kongtuke gibi uzlaşmış web sitelerinin kullanımı ile başlayan çok aşamalı bir saldırı zinciri kullanıyor.
Bu sosyal mühendislik taktiği, kullanıcıları teknik sorunlar için düzeltmeler olarak gizlenmiş kötü niyetli PowerShell komutlarını kopyalamaya ve yürütmeye yönlendirir ve altta yatan enfeksiyonu maskeleyen sahte hata mesajlarına yol açar.

Sosyal mühendislik yoluyla ilk erişim
Bir kez yürütüldükten sonra, komut bir indirme yuvası başlatır ve dng-microsoftds.com gibi komut ve kontrol (C2) sunucularından ek yükler getirir ve bu da sistemi SystemInfo gibi komutları kullanarak parmak izler.
Bu keşif verileri, sanallaştırma veya kum havuzu ortamlarını kontrol etmek için analiz için C2’ye geri gönderilir.
Güvenli kabul edilirse, saldırı, başlangıç klasöründe bir Windows kısayoluyla devam eden ve Shell32.dll’s Shellexec_rundll dışa aktarma ile şüpheli lolbin rundll32 kullanılarak yürütülen bir “basit işlem başlatıcısı” ikili dağıtarak ilerler.

Bu başlatıcı, AppData dizininde config.cfg olarak depolanan son derece şaşkın bir arka kapı çalıştırmak için bir PHP tercümanı yükleyerek, gizlenmiş komut dosyalarını indiren ve çağıran daha fazla PowerShell işlemlerini ortaya çıkarır.
Çok katmanlı arka kapılar
PHP tabanlı arka kapı, Proc_open aracılığıyla keyfi komutlar yürütme, PNG dosyaları olarak gizlenmiş DLL’leri veya exes’i nodesnake faresi gibi JavaScript yükleri için nodeJ’ler yükleme ve register run Keys yoluyla kalıcılık oluşturma gibi çok yönlü bir komut işleyicisi olarak hizmet eder.
Tru, veri söndürme için nodesnake dağıtmak için bu arka kapıyı kullanan, Base64’te hassas dosyaları kodlamak ve C: \ Users \ public .log dosyalarında düzenlemek için bu arka kapıyı kullandı ve JSON’a dönüştürülen PowerShell sorguları aracılığıyla sürücü bilgileri, işlem listeleri ve ağ arabirimleri dahil kapsamlı sistem ayrıntıları toplarken.

Veri şifrelemesi, GZIP sıkıştırmadan önce düz metinlere karşı yinelemeli XOR işlemleri ve rastgele yol bileşenleri içeren dinamik olarak oluşturulan C2 URL’lerine iletim ile Mersenne Twister tarafından oluşturulan bir 32 bit XOR tuşunu içerir.
Bunu takiben, bir .png dosyası olarak düşen ve Rundll32 aracılığıyla yürütülen paketlenmiş C tabanlı bir arka kapı, 167.235.235.151 gibi sert kodlanmış C2 sunucularını ve %temp olarak korunan yedekleri depolama mekanizmalarını içererek kendi kendine enjeksiyon tekniklerini devralır.

Bu arka kapı, TCP 443 soketleri üzerinden cmd.exe giriş/çıkışı, Rundll32 ile başlatılan gömülü DLL’leri kullanarak kendi kendine tahribat ve C: \ Users \ public’te zaman damgalı dosyalara kaydedilen çıktılarla komut yürütme ile ters kabukları kolaylaştırır.
Komutlar, bellek ve uyku gibi kaçınma taktiklerinden, C2 sunucularını dinamik olarak güncellemeye kadar, tohumlanmış rand () xor tuşları aracılığıyla şifrelenmiş ve JSON biçimlendirilmiş sistem parmak izleri için “55 11 69 df” gibi işaretleyicilerle ön ek olarak değişir.
Saldırının karmaşıklığı, anormal komut çizgileri, lolbinler ve keşif, kalıcılık ve pessfiltrasyon araçlarını içeren devasa süreç ağacında belirgindir.
Tru’nun analizi, Interlock’un öncelikle dokuz çekirdek komutu destekleyen bir arka kapı olarak işlev gören “Interlock Rat” da dahil olmak üzere özel takım kullanımını vurgular.
Bu tür tehditleri azaltmak için kuruluşlar, ClickFix gibi sosyal mühendislik vektörleri için davranışsal algılama uygularken, şüpheli PowerShell infazlarını, olağandışı Rundll32 kullanımı ve beklenmedik PHP veya NodeJS kurulumlarını izlemelidir.
Esentire Tru, proaktif tehdit avcılığını ve hızlı tepkiyi vurgular, 7/24 SOC’larının, gelişen fidye yazılım taktiklerine karşı yönetilen algılama ve müdahale hizmetlerine duyulan ihtiyacın altını çizerek, 15 dakikalık ortalama bir süre elde ettiğini belirtmektedir.
Bu keşif, Interlock’un yüksek profilli istismar geçmişine katkıda bulunarak, katmanlı savunmaların kimlik temelli ve tedarik zinciri saldırılarına karşı önemini güçlendiriyor.
Find this News Interesting! Follow us on Google News, LinkedIn, and X to Get Instant Updates!