Interlock та Rhysida: Штучний інтелект у екосистемі програм-вимагачів
Detection stack
- AIDR
- Alert
- ETL
- Query
Резюме
Дослідження IBM X-Force вказує на сильний зв’язок між екосистемами програм-вимагачів Interlock (Hive0163) та Rhysida. У звіті описана складна мережа спільних сімейств зловмисних програм, спеціалізованих криптерів та координованих початкових брокерів доступу. Interlock виглядає як дуже зріла група загроз, що використовує спеціальний інструментарій, такий як NodeSnake та InterlockRAT, і, можливо, еволюціонувала від операторів, раніше пов’язаних з Rhysida.
Розслідування
X-Force проводила довгострокове дослідження протягом більше ніж двох років, аналізуючи зразки зловмисних програм, ланцюги атак і інфраструктуру інсценування. Розслідування виявило суттєві подібності коду в кількох бекдорах і відслідкувало розробку присвячених криптерів, таких як JunkFiction і Tomb. Дослідники також відзначили зв’язки між загрозливими акторами та початковими брокерами доступу через перекриваючу інфраструктуру та використання інструментів.
Пом’якшення
Організації повинні розгорнути сильні можливості виявлення та реагування на кінцевих точках для ідентифікації підозрілої поведінки процесів, включаючи несподівану активність PowerShell та несанкціоновані зміни реєстру. Оперативне оновлення мережевих пристроїв, що відповідають в Інтернеті, є важливим для зменшення ризику експлуатації, включаючи уразливості, такі як CVE-2026-20131. Застосування суворих контролів WDAC та моніторинг на предмет неузгодженої активності інструментів RMM також можуть обмежити операції після компрометації.
Відповідь
Якщо підозрюється активність Interlock або Rhysida, негайно ізолюйте постраждалі системи для припинення латерального переміщення через тунелі RDP або SOCKS5. Проведіть ретельний огляд інфраструктури інсценування і перевірте на несанкціоновані інструменти віддаленого керування, такі як ConnectWise ScreenConnect. Перевірте журнали на підозріле виконання PowerShell та розслідуйте будь-які несанкціоновані зміни, що стосуються запланованих завдань або сервісів systemd.
Потік атаки
Виявлення
Можливі точки стійкості [ASEPs – Software/NTUSER Hive] (через registry_event)
Переглянути
Завантаження або вивантаження через Powershell (через cmdline)
Переглянути
Можлива інвентаризація системи (через cmdline)
Переглянути
Можливе виявлення віддалених систем або перевірка підключення (через cmdline)
Переглянути
Можливе перерахування адміністративних акаунтів або груп (через cmdline)
Переглянути
Підозріле виявлення довіри до доменів (через cmdline)
Переглянути
Можливі перевірки ухилення (через powershell)
Переглянути
Підозрілі бінарні файли / скрипти в автозавантаженні (через file_event)
Переглянути
Можливе зловживання Telegram як канал управління та контролю (через dns_query)
Переглянути
Запит DNS Steam Community, виконаний підозрілим процесом (через dns_query)
Переглянути
IOC (HashSha256) для виявлення: Security Artificial Intelligence: Interlock та Rhysida у частині 3 екосистеми програм-вимагачів
Переглянути
IOC (HashSha256) для виявлення: Security Artificial Intelligence: Interlock та Rhysida у частині 2 екосистеми програм-вимагачів
Переглянути
IOC (HashSha256) для виявлення: Security Artificial Intelligence: Interlock та Rhysida у частині 1 екосистеми програм-вимагачів
Переглянути
IOC (SourceIP) для виявлення: Security Artificial Intelligence: Interlock та Rhysida у екосистемі програм-вимагачів
Переглянути
IOC (DestinationIP) для виявлення: Security Artificial Intelligence: Interlock та Rhysida у екосистемі програм-вимагачів
Переглянути
Виявлення завантажувача JunkFiction та запланованого PowerShell скрипта [Windows Powershell]
Переглянути
Виявлення бекдора Supper та завантажувача JunkFiction [створення процесу Windows]
Переглянути
Виявлення діяльності NodeSnake та InterlockRAT [створення процесу Linux]
Переглянути
Виконання симуляції
Передумова: Перевірка телеметрії та базових показників повинна бути пройдена.
Обґрунтування: У цьому розділі детально описується точне виконання техніки противника (TTP), розробленої для активації правила виявлення. Команди та наратив МАЮТЬ безпосередньо відображати TTP, і повинні генерувати точну телеметрію, очікувану виявленням логіки. Абстрактні або не пов’язані приклади призведуть до неправильного діагнозу.
-
Атака, наратив і команди: Супротивник успішно зламав робочу станцію розробника через атаку на ланцюг поставок (T1195.003). Він скинув зловмисне навантаження Node.js під назвою
InterlockRAT.jsу тимчасовий каталог. Мета – встановити постійний бекдор для полегшення латерального переміщення в мережі. Зловмисник запускає скрипт, використовуючисередовище виконання node, передаючи певні аргументи для ініціалізації SOCKS5 проксі для тунелювання трафіку. Ця конкретна команда розроблена для активації існуючої логіки виявлення.runtime, passing specific arguments to initialize a SOCKS5 proxy for tunneling traffic. This specific command is designed to trigger the existing detection logic. -
Скрипт для регресійного тесту:
# Створіть бутафорний каталог для зловмисного ПЗ mkdir -p /tmp/malware_drop # Створіть 'зловмисний' файл InterlockRAT.js cat <<EOF > /tmp/malware_drop/InterlockRAT.js // Логіка симуляції шкідливого ПЗ console.log("Ініціалізація навантаження InterlockRAT..."); EOF # Запустіть файл з певними рядками, необхідними для активації правила node /tmp/malware_drop/InterlockRAT.js --mode SOCKS5 --target reverse shell 10.0.0.5 -
Команди очищення:
# Видаліть симульовані файли та каталоги зловмисного ПЗ rm -rf /tmp/malware_drop