Interlock und Rhysida: KI im Ransomware-Ökosystem
Detection stack
- AIDR
- Alert
- ETL
- Query
Zusammenfassung
Die IBM X-Force-Forschung zeigt eine starke Verbindung zwischen den Ransomware-Ökosystemen Interlock (Hive0163) und Rhysida auf. Der Bericht skizziert ein komplexes Netzwerk gemeinsamer Malware-Familien, spezialisierter Crypter und koordinierter Initial-Access-Broker. Interlock scheint eine hochentwickelte Bedrohungsgruppe zu sein, die maßgeschneiderte Tools wie NodeSnake und InterlockRAT verwendet, und könnte sich aus früher mit Rhysida verbundenen Operateuren entwickelt haben.
Untersuchung
X-Force führte über mehr als zwei Jahre langfristige Untersuchungen durch und analysierte Malware-Beispiele, Angriffsabläufe und Bereitstellungsinfrastrukturen. Die Untersuchung deckte erhebliche Code-Ähnlichkeiten bei mehreren Backdoors auf und verfolgte die Entwicklung dedizierter Crypter wie JunkFiction und Tomb. Forscher kartierten auch Verbindungen zwischen Bedrohungsakteuren und Initial-Access-Brokern durch Überlappungen bei Infrastruktur- und Werkzeugnutzung.
Entschärfungsmaßnahmen
Organisationen sollten starke Endpoint-Detection-and-Response-Fähigkeiten einsetzen, um verdächtiges Prozessverhalten zu identifizieren, einschließlich unerwarteter PowerShell-Aktivitäten und unautorisierter Registry-Änderungen. Ein schnelles Patchen von netzwerkausgerichteten Geräten ist unerlässlich, um das Risiko einer Ausnutzung zu verringern, einschließlich Schwachstellen wie CVE-2026-20131. Das Durchsetzen strenger WDAC-Kontrollen und die Überwachung von nicht genehmigten RMM-Tool-Aktivitäten kann auch die Operationen nach einem Vorfall begrenzen.
Reaktion
Sollte eine Aktivität von Interlock oder Rhysida vermutet werden, isolieren Sie betroffene Systeme sofort, um laterale Bewegungen über RDP- oder SOCKS5-Tunnel zu stoppen. Führen Sie eine gründliche Überprüfung der Bereitstellungsinfrastruktur durch und prüfen Sie auf unautorisierte Fernverwaltungswerkzeuge wie ConnectWise ScreenConnect. Überprüfen Sie die Protokolle auf verdächtige PowerShell-Ausführungen und untersuchen Sie alle unautorisierten Änderungen an geplanten Aufgaben oder Systemd-Diensten.
Angriffslauf
Erkennungen
Mögliche Persistenzpunkte [ASEPs – Software/NTUSER Hive] (via registry_event)
Ansehen
Herunterladen oder Hochladen via Powershell (via cmdline)
Ansehen
Mögliche Systemenumeration (via cmdline)
Ansehen
Mögliche Fernsystementdeckung oder Verbindungsprüfungen (via cmdline)
Ansehen
Mögliche Administrator-Konto- oder Gruppenenumeration (via cmdline)
Ansehen
Verdächtige Domain-Vertrauensstellungen Entdeckung (via cmdline)
Ansehen
Mögliche Tarnungsüberprüfungen (via powershell)
Ansehen
Verdächtige Binärdateien/Skripte im Autostart-Ort (via file_event)
Ansehen
Möglicher Telegram-Missbrauch als Befehl-und-Kontroll-Kanal (via dns_query)
Ansehen
Steam-Community-DNS-Anfrage durchgeführt von einem verdächtigen Prozess (via dns_query)
Ansehen
IOCs (HashSha256) zur Erkennung: Sicherheits-Künstliche Intelligenz: Interlock und Rhysida im Ransomware-Ökosystem Teil 3
Ansehen
IOCs (HashSha256) zur Erkennung: Sicherheits-Künstliche Intelligenz: Interlock und Rhysida im Ransomware-Ökosystem Teil 2
Ansehen
IOCs (HashSha256) zur Erkennung: Sicherheits-Künstliche Intelligenz: Interlock und Rhysida im Ransomware-Ökosystem Teil 1
Ansehen
IOCs (SourceIP) zur Erkennung: Sicherheits-Künstliche Intelligenz: Interlock und Rhysida im Ransomware-Ökosystem
Ansehen
IOCs (DestinationIP) zur Erkennung: Sicherheits-Künstliche Intelligenz: Interlock und Rhysida im Ransomware-Ökosystem
Ansehen
JunkFiction Downloader und geplanter PowerShell Skripterkennung [Windows Powershell]
Ansehen
Erkennung von Supper Backdoor und JunkFiction Downloader [Windows-Prozess-Erstellung]
Ansehen
Erkennung von NodeSnake und InterlockRAT-Aktivität [Linux-Prozess-Erstellung]
Ansehen
Simulation Ausführung
Voraussetzung: Die Telemetrie-&-Basislinien-Vorflugüberprüfung muss bestanden haben.
Begründung: Dieser Abschnitt beschreibt die genaue Ausführung der gegnerischen Technik (TTP), um die Erkennungsregel auszulösen. Die Befehle und Erzählung MÜSSEN direkt die identifizierten TTPs widerspiegeln und darauf abzielen, genau die Telemetrie zu erzeugen, die von der Erkennungslogik erwartet wird. Abstrakte oder nicht zusammenhängende Beispiele führen zu Fehldiagnosen.
-
Angriffsbericht & Kommandos: Der Angreifer hat erfolgreich einen Entwickler-Arbeitsplatz über einen Lieferkettenangriff kompromittiert (T1195.003). Sie haben eine bösartige Node.js-Nutzlast namens
InterlockRAT.jsin ein temporäres Verzeichnis abgelegt. Das Ziel ist es, eine persistente Backdoor zu etablieren, um latente Bewegungsmöglichkeiten im Netzwerk zu ermöglichen. Der Angreifer führt das Skript mithilfe dernodeLaufzeit aus und übergibt spezifische Argumente, um einen SOCKS5-Proxy zur Tunnellinienleitung von Daten einzurichten. Dieser spezifische Befehl zielt darauf ab, die vorhandene Erkennungslogik auszulösen. -
Regressionstest-Skript:
# Erstellen eines Dummy-Verzeichnisses für die Malware mkdir -p /tmp/malware_drop # Erstellen der 'bösartigen' InterlockRAT.js-Datei cat </tmp/malware_drop/InterlockRAT.js // Simulierte Malware-Logik console.log("Initialisierung der InterlockRAT-Nutzlast..."); EOF # Datei mit den spezifischen Zeichenfolgen ausführen, die zur Regeltriggerung erforderlich sind node /tmp/malware_drop/InterlockRAT.js --mode SOCKS5 --target reverse shell 10.0.0.5 -
Bereinigungsbefehle:
# Entfernen der simulierten Malware-Dateien und -Verzeichnisse rm -rf /tmp/malware_drop