팔로우 
요약
IBM X-Force 연구에 따르면, Interlock(집합체0163)과 Rhysida 랜섬웨어 생태계 사이의 강력한 연결이 강조되었습니다. 보고서는 공유된 악성코드 군, 전문화된 크립터, 그리고 조정된 초기 접근 브로커의 복잡한 네트워크를 설명합니다. Interlock은 NodeSnake 및 InterlockRAT와 같은 맞춤형 도구를 사용하는 매우 성숙한 위협 그룹으로 보이며, 이전에 Rhysida와 관련된 운영자에서 진화했을 가능성이 있습니다.
조사
X-Force는 2년이 넘는 장기 연구를 수행하며, 악성코드 샘플, 공격 체인 및 스테이징 인프라를 분석했습니다. 조사 결과, 여러 백도어에서 상당한 코드 유사성이 발견되었고, JunkFiction 및 Tomb와 같은 전용 크립터의 개발을 추적했습니다. 연구원들은 또한 위협 배우와 초기 접근 브로커 간의 연관성을 중복되는 인프라 및 도구 사용을 통해 매핑했습니다.
완화
조직은 의심스러운 프로세스 행동을 식별하기 위해 강력한 엔드포인트 탐지 및 대응 기능을 배포해야 하며, 여기에 예기치 않은 PowerShell 활동 및 비인가된 레지스트리 변경이 포함됩니다. 인터넷 연결 네트워크 장치의 빠른 패치는 CVE-2026-20131과 같은 취약점을 포함하여 악용 위험을 줄이는 데 필수적입니다. 엄격한 WDAC 통제 시행과 비인가 RMM 도구 활동 모니터링은 또한 포스트 컴프라미스 운영을 제한할 수 있습니다.
대응
Interlock 또는 Rhysida 활동이 의심스러울 경우, RDP 또는 SOCKS5 터널을 통한 횡적 이동을 차단하기 위해 즉시 영향을 받은 시스템을 격리하십시오. 스테이징 인프라에 대한 철저한 검토를 수행하고 ConnectWise ScreenConnect와 같은 비허가 원격 관리 도구를 점검하십시오. 의심스러운 PowerShell 실행을 위해 로그를 검토하고 스케줄된 작업이나 systemd 서비스와 관련된 비허가 변경 사항을 조사하십시오.
graph TB %% 클래스 정의 classDef initial_access fill:#f96,stroke:#333,stroke-width:2px classDef evasion fill:#bbf,stroke:#333,stroke-width:2px classDef execution fill:#dfd,stroke:#333,stroke-width:2px classDef persistence fill:#fdd,stroke:#333,stroke-width:2px classDef command_control fill:#ffd,stroke:#333,stroke-width:2px classDef discovery fill:#dff,stroke:#333,stroke-width:2px classDef lateral_movement fill:#dcd,stroke:#333,stroke-width:2px classDef impact fill:#f99,stroke:#333,stroke-width:2px classDef tool_malware fill:#eee,stroke:#333,stroke-width:1px %% 초기 접근 단계 action_drive_by[“<b>행위</b> – <b idea=’T1189 드라이브 바이 침해'</b><br/>피해자는 사기성 웹사이트,<br/>악성 광고 또는 검색 엔진 리디렉션을 통해 유인된다.”] class action_drive_by initial_access action_content_injection[“<b>행위</b> – <b idea=’T1204 콘텐츠 주입'</b><br/>TAG-124 또는 ClickFix와 같은<br/>트래픽 분산 시스템(TDS)을 사용하여 사용자를 리디렉션한다.”] class action_content_injection initial_access action_subvert_trust[“<b>행위</b> – <b idea=’T1553 신뢰 제어 우회: 코드 서명'</b><br/>Foshan Yongqiheng Trading Co., Ltd.와 같은<br/>위조 인증서를 사용한다.”] class action_subvert_trust evasion %% 실행 및 전송 단계 action_user_exec[“<b>행위</b> – <b idea=’T1204 사용자 실행'</b><br/>트로이 목마화된 설치 프로그램<br/>(Microsoft Teams, Chrome 또는 Edge 등)을 실행한다.”] class action_user_exec execution malware_initial_payload[“<b>악성코드</b> – <b idea=’Payloads’>JunkFiction, NodeSnake 또는 Endico</b><br/>사용자 상호작용을 통해 실행되는<br/>초기 단계 다운로더.”] class malware_initial_payload tool_malware action_ingress_transfer[“<b>행위</b> – <b idea=’T1105 인바운드 도구 전송'</b><br/>원격 명령 및 제어 서버에서<br/>2단계 악성코드를 가져온다.”] class action_ingress_transfer execution malware_second_stage[“<b>악성코드</b> – <b idea=’Backdoors’>Supper 또는 InterlockRAT</b><br/>원격 접근을 지원하기 위해 배포되는<br/>2단계 백도어.”] class malware_second_stage tool_malware %% 지속성 단계 action_persistence_linux[“<b>행위</b> – <b idea=’T1543.003 부팅 또는 로그인 초기화 스크립트: Systemd 서비스'</b><br/>Linux NodeSnake 변종이<br/>새로운 systemd 서비스를 생성한다.”] class action_persistence_linux persistence action_persistence_windows[“<b>행위</b> – <b idea=’T1547 Unix Shell 구성 수정’>Windows 지속성</b><br/>셸 구성 변경을 사용하여<br/>접근 권한을 유지한다.”] class action_persistence_windows persistence %% 명령 및 제어 단계 action_c2[“<b>행위</b> – <b idea=’T1219 원격 접근 소프트웨어'</b><br/>은밀한 통신을 위해<br/>리버스 셸과 SOCKS5 터널을 구축한다.”] class action_c2 command_control %% 탐색 단계 action_discovery_domain[“<b>행위</b> – <b idea=’T1087.002 계정 탐색: 도메인 계정'</b><br/>net user /domain 같은 명령을 사용하여<br/>도메인 계정을 열거한다.”] class action_discovery_domain discovery action_discovery_groups[“<b>행위</b> – <b idea=’T1069.002 권한 그룹 탐색: 도메인 그룹'</b><br/>net group domain admins /domain 명령을 사용하여<br/>그룹 정보를 수집한다.”] class action_discovery_groups discovery %% 측면 이동 및 영향 단계 action_lateral_move[“<b>행위</b> – <b idea=’T1210 원격 서비스 악용'</b><br/>리버스 셸을 통해 시작된 RDP 세션을 이용하여<br/>환경 내부로 이동한다.”] class action_lateral_move lateral_movement action_selective_exclusion[“<b>행위</b> – <b idea=’Defense Evasion’>선택적 제외</b><br/>Microsoft Defender 또는 Sophos EDR을 차단하기 위해<br/>사용자 정의 WDAC 정책을 배포한다.”] class action_selective_exclusion evasion action_impact_encryption[“<b>행위</b> – <b idea=’T1486 영향 목적의 데이터 암호화'</b><br/>Interlock 또는 Rhysida 랜섬웨어를 배포하여<br/>피해자 파일을 암호화한다.”] class action_impact_encryption impact %% 연결 흐름 action_drive_by –>|촉진함| action_content_injection action_content_injection –>|이어짐| action_user_exec action_user_exec –>|사용함| malware_initial_payload malware_initial_payload –>|필요로함| action_subvert_trust malware_initial_payload –>|실행함| action_ingress_transfer action_ingress_transfer –>|다운로드함| malware_second_stage malware_second_stage –>|설정함| action_persistence_linux malware_second_stage –>|설정함| action_persistence_windows malware_second_stage –>|활성화함| action_c2 action_c2 –>|수행함| action_discovery_domain action_c2 –>|수행함| action_discovery_groups action_discovery_domain –>|정보제공함| action_lateral_move action_discovery_groups –>|정보제공함| action_lateral_move action_lateral_move –>|이어짐| action_selective_exclusion action_selective_exclusion –>|선행함| action_impact_encryption
공격 흐름
Detections
Possible Persistence Points [ASEPs – Software/NTUSER Hive] (via registry_event)
View
Download or Upload via Powershell (via cmdline)
View
Possible System Enumeration (via cmdline)
View
Possible Remote System Discovery or Connectivity Check (via cmdline)
View
Possible Admin Account or Group Enumeration (via cmdline)
View
Suspicious Domain Trusts Discovery (via cmdline)
View
Possible Evasion Checks (via powershell)
View
Suspicious Binary / Scripts in Autostart Location (via file_event)
View
Possible Telegram Abuse As Command And Control Channel (via dns_query)
View
Steam Communtiy DNS Request Perfomed By Suspicious Process (via dns_query)
View
IOCs (HashSha256) to detect: Security Artificial Intelligence: Interlock and Rhysida within the Ransomware Ecosystem Part 3
View
IOCs (HashSha256) to detect: Security Artificial Intelligence: Interlock and Rhysida within the Ransomware Ecosystem Part 2
View
IOCs (HashSha256) to detect: Security Artificial Intelligence: Interlock and Rhysida within the Ransomware Ecosystem Part 1
View
IOCs (SourceIP) to detect: Security Artificial Intelligence: Interlock and Rhysida within the Ransomware Ecosystem
View
IOCs (DestinationIP) to detect: Security Artificial Intelligence: Interlock and Rhysida within the Ransomware Ecosystem
View
JunkFiction Downloader and Scheduled PowerShell Script Detection [Windows Powershell]
View
Detection of Supper Backdoor and JunkFiction Downloader [Windows Process Creation]
View
Detection of NodeSnake and InterlockRAT Activity [Linux Process Creation]
View
Simulation Execution
Prerequisite: The Telemetry & Baseline Pre-flight Check must have passed.
Rationale: This section details the precise execution of the adversary technique (TTP) designed to trigger the detection rule. The commands and narrative MUST directly reflect the TTPs identified and aim to generate the exact telemetry expected by the detection logic. Abstract or unrelated examples will lead to misdiagnosis.
-
Attack Narrative & Commands: The adversary has successfully compromised a developer’s workstation via a supply chain attack (T1195.003). They have dropped a malicious Node.js payload named
InterlockRAT.jsinto a temporary directory. The goal is to establish a persistent backdoor to facilitate lateral movement within the network. The attacker executes the script using thenoderuntime, passing specific arguments to initialize a SOCKS5 proxy for tunneling traffic. This specific command is designed to trigger the existing detection logic. -
Regression Test Script:
# Create a dummy directory for the malware mkdir -p /tmp/malware_drop # Create the 'malicious' InterlockRAT.js file cat <<EOF > /tmp/malware_drop/InterlockRAT.js // Simulated malware logic console.log("Initializing InterlockRAT payload..."); EOF # Execute the file with the specific strings required to trigger the rule node /tmp/malware_drop/InterlockRAT.js --mode SOCKS5 --target reverse shell 10.0.0.5 -
Cleanup Commands:
# Remove the simulated malware files and directories rm -rf /tmp/malware_drop