Interlockランサムウェアの検出：FileFix経由で新たなPHPベースのRATを展開

Interlockランサムウェアを運用する脅威アクターが再びサイバー攻撃の舞台に登場しました。彼らは、高影響の二重恐喝攻撃で知られており、最近ではカスタム型RATの新しいPHP版を大規模キャンペーンで展開。このキャンペーンでは、ClickFixの改変版であるFileFixを使用して、複数業界の組織を標的としています。詳しくは Interlock ransomware をご覧ください。

Interlockランサムウェア攻撃の検出

Verizonの2025年データ侵害調査報告書（DBIR）は、この脅威の重要性を強く指摘しています。報告によると、ランサムウェアは侵害の44％に関与しており、前年の32％からさらに拡大しています。2024年には平均身代金が200万ドルに達し、攻撃者の動機は極めて高まっています。Cybersecurity Venturesは2031年までにランサムウェア攻撃が2秒に1回の頻度で発生する可能性があると警告しており、プロアクティブな脅威検出の重要性がかつてないほど高まっています。

SOC Primeプラットフォームに登録し、Interlockランサムウェアのような脅威を最初期段階で検出しましょう。このプラットフォームでは、リアルタイムの脅威インテリジェンスとアクション可能な検出コンテンツ、AI搭載の検出エンジニアリング、自動化された脅威ハンティング、高度な検出機能を一式提供します。「Explore Detections」ボタンをクリックして、Interlockアクティビティを特定・対応するために特別設計された検出ルール集にアクセスしてください。

Explore Detections

SOC Primeプラットフォームに収録されているすべてのルールは、複数のSIEM、EDR、Data Lakeソリューションと互換性があり、MITRE ATT&CK®フレームワークにマッピングされています。また、各ルールには詳細なメタデータ、脅威インテリジェンスの参照、攻撃タイムライン、トリアージ推奨事項などが含まれています。

さらに、防御側は「Ransomware」タグを適用することで、世界中のランサムウェア攻撃に対応する幅広い検出ルールを利用できます。

また、Uncoder AIという専用IDE兼コパイロットを使えば、脅威インテリジェンスに基づく検出エンジニアリングがスマートに行えます。生の脅威レポートから検出アルゴリズムを生成し、IOCを迅速に検索し、ATT＆CKタグを予測、AIによるクエリ最適化、多プラットフォーム向けルール変換も可能です。たとえば、The DFIR ReportのIOCを、選択したSIEM／EDR環境で即実行可能な高性能クエリにワンクリックで変換できます。

Interlockランサムウェアの分析

Interlockランサムウェアグループは比較的新しい脅威ですが、急速に進化しています。2024年9月に初確認されて以来、医療、テクノロジー、米国の公共セクターおよび欧州の製造業など、複数の業界を標的とした高影響の二重恐喝攻撃に関連付けられています。

The DFIR ReportとProofpointによる共同分析では、グループがカスタムRAT「NodeSnake」のPHP版を開発・導入していることが明らかになりました。Node.jsベースだった名称に反して、このPHPバリアントは2025年5月以降、LandUpdate808（別名KongTuke）に関連する大規模なキャンペーンで確認されています。攻撃者はClickFixの改変版「FileFix」を使用して、RATを配信し、複数業界に悪意あるペイロードを展開しています。

FileFixは、Windowsのファイルエクスプローラーのアドレスバーを悪用するソーシャルエンジニアリング手法を進化させたもので、被害者に悪意あるコマンドをコピー＆ペーストさせることで、従来型のダウンロードなしでコード実行を誘発し、ステルス性と効率性を強化しています。

攻撃キャンペーンは、改ざんされたウェブサイトに埋め込まれた1行のJavaScriptスニペットから始まります。このコードはTDS（トラフィックディストリビューションシステム）として機能し、IPフィルタリングを用いて偽のCAPTCHAページへユーザーを誘導します。被害者が誤ってPowerShellスクリプトを実行すると、Interlock RATが展開されます。Node.js版とPHP版の両方が確認されています。

展開後、RATは感染環境の情報を収集し、JSON形式で外部へ exfiltrate（送信）します。その後、自身の権限レベル（ユーザー、管理者、SYSTEM）をチェックし、リモートサーバーから追加ペイロード（EXEまたはDLL）を取得・実行します。

永続性を確保するために、RATはWindowsレジストリを改変します。ネットワーク内での横移動にはRDP（Remote Desktop Protocol）を利用します。

NodeSnakeの特徴的な点として、Cloudflare Tunnelのサブドメインを利用してC2インフラの実際の位置を隠蔽する点が挙げられます。トンネルが無効化されても、バイナリ内に埋め込まれたフォールバック用IPアドレスを介して通信を続行します。

Interlockランサムウェアの最新版は、以前のNode.jsバリアントとは異なり、WEB開発で広く用いられるPHPを活用して感染環境に侵入しアクセスを維持します。この変更は、グループのツールセットの進化と運用の高度化を示しており、防御側には迅速かつ適応的な対応が求められています。SOC Primeの高度な検出エンジニアリング、自動化機能、AIネイティブ脅威インテリジェンスを中核とする完全な製品スイートに依拠することで、さまざまな業界の組織が大規模かつ将来を見据えた防御体制を構築できます。