SOC Prime Bias: 심각

16 Jun 2026 12:58 UTC

인터록과 리시다: 랜섬웨어 생태계 내 인공지능

Author Photo
SOC Prime Team linkedin icon 팔로우
인터록과 리시다: 랜섬웨어 생태계 내 인공지능
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

요약

IBM X-Force 연구에 따르면, Interlock(집합체0163)과 Rhysida 랜섬웨어 생태계 사이의 강력한 연결이 강조되었습니다. 보고서는 공유된 악성코드 군, 전문화된 크립터, 그리고 조정된 초기 접근 브로커의 복잡한 네트워크를 설명합니다. Interlock은 NodeSnake 및 InterlockRAT와 같은 맞춤형 도구를 사용하는 매우 성숙한 위협 그룹으로 보이며, 이전에 Rhysida와 관련된 운영자에서 진화했을 가능성이 있습니다.

조사

X-Force는 2년이 넘는 장기 연구를 수행하며, 악성코드 샘플, 공격 체인 및 스테이징 인프라를 분석했습니다. 조사 결과, 여러 백도어에서 상당한 코드 유사성이 발견되었고, JunkFiction 및 Tomb와 같은 전용 크립터의 개발을 추적했습니다. 연구원들은 또한 위협 배우와 초기 접근 브로커 간의 연관성을 중복되는 인프라 및 도구 사용을 통해 매핑했습니다.

완화

조직은 의심스러운 프로세스 행동을 식별하기 위해 강력한 엔드포인트 탐지 및 대응 기능을 배포해야 하며, 여기에 예기치 않은 PowerShell 활동 및 비인가된 레지스트리 변경이 포함됩니다. 인터넷 연결 네트워크 장치의 빠른 패치는 CVE-2026-20131과 같은 취약점을 포함하여 악용 위험을 줄이는 데 필수적입니다. 엄격한 WDAC 통제 시행과 비인가 RMM 도구 활동 모니터링은 또한 포스트 컴프라미스 운영을 제한할 수 있습니다.

대응

Interlock 또는 Rhysida 활동이 의심스러울 경우, RDP 또는 SOCKS5 터널을 통한 횡적 이동을 차단하기 위해 즉시 영향을 받은 시스템을 격리하십시오. 스테이징 인프라에 대한 철저한 검토를 수행하고 ConnectWise ScreenConnect와 같은 비허가 원격 관리 도구를 점검하십시오. 의심스러운 PowerShell 실행을 위해 로그를 검토하고 스케줄된 작업이나 systemd 서비스와 관련된 비허가 변경 사항을 조사하십시오.

공격 흐름

Detections

Possible Persistence Points [ASEPs – Software/NTUSER Hive] (via registry_event)

SOC Prime Team
16 Jun 2026

Download or Upload via Powershell (via cmdline)

SOC Prime Team
16 Jun 2026

Possible System Enumeration (via cmdline)

SOC Prime Team
16 Jun 2026

Possible Remote System Discovery or Connectivity Check (via cmdline)

SOC Prime Team
16 Jun 2026

Possible Admin Account or Group Enumeration (via cmdline)

SOC Prime Team
16 Jun 2026

Suspicious Domain Trusts Discovery (via cmdline)

SOC Prime Team
16 Jun 2026

Possible Evasion Checks (via powershell)

SOC Prime Team
16 Jun 2026

Suspicious Binary / Scripts in Autostart Location (via file_event)

SOC Prime Team
16 Jun 2026

Possible Telegram Abuse As Command And Control Channel (via dns_query)

SOC Prime Team
16 Jun 2026

Steam Communtiy DNS Request Perfomed By Suspicious Process (via dns_query)

SOC Prime Team
16 Jun 2026

IOCs (HashSha256) to detect: Security Artificial Intelligence: Interlock and Rhysida within the Ransomware Ecosystem Part 3

SOC Prime AI Rules
16 Jun 2026

IOCs (HashSha256) to detect: Security Artificial Intelligence: Interlock and Rhysida within the Ransomware Ecosystem Part 2

SOC Prime AI Rules
16 Jun 2026

IOCs (HashSha256) to detect: Security Artificial Intelligence: Interlock and Rhysida within the Ransomware Ecosystem Part 1

SOC Prime AI Rules
16 Jun 2026

IOCs (SourceIP) to detect: Security Artificial Intelligence: Interlock and Rhysida within the Ransomware Ecosystem

SOC Prime AI Rules
16 Jun 2026

IOCs (DestinationIP) to detect: Security Artificial Intelligence: Interlock and Rhysida within the Ransomware Ecosystem

SOC Prime AI Rules
16 Jun 2026

JunkFiction Downloader and Scheduled PowerShell Script Detection [Windows Powershell]

SOC Prime AI Rules
16 Jun 2026

Detection of Supper Backdoor and JunkFiction Downloader [Windows Process Creation]

SOC Prime AI Rules
16 Jun 2026

Detection of NodeSnake and InterlockRAT Activity [Linux Process Creation]

SOC Prime AI Rules
16 Jun 2026

Simulation Execution

Prerequisite: The Telemetry & Baseline Pre-flight Check must have passed.

Rationale: This section details the precise execution of the adversary technique (TTP) designed to trigger the detection rule. The commands and narrative MUST directly reflect the TTPs identified and aim to generate the exact telemetry expected by the detection logic. Abstract or unrelated examples will lead to misdiagnosis.

  • Attack Narrative & Commands: The adversary has successfully compromised a developer’s workstation via a supply chain attack (T1195.003). They have dropped a malicious Node.js payload named InterlockRAT.js into a temporary directory. The goal is to establish a persistent backdoor to facilitate lateral movement within the network. The attacker executes the script using the node runtime, passing specific arguments to initialize a SOCKS5 proxy for tunneling traffic. This specific command is designed to trigger the existing detection logic.

  • Regression Test Script:

    # Create a dummy directory for the malware
    mkdir -p /tmp/malware_drop
    
    # Create the 'malicious' InterlockRAT.js file
    cat <<EOF > /tmp/malware_drop/InterlockRAT.js
    // Simulated malware logic
    console.log("Initializing InterlockRAT payload...");
    EOF
    
    # Execute the file with the specific strings required to trigger the rule
    node /tmp/malware_drop/InterlockRAT.js --mode SOCKS5 --target reverse shell 10.0.0.5
  • Cleanup Commands:

    # Remove the simulated malware files and directories
    rm -rf /tmp/malware_drop