SOC Prime Bias: Критичний

16 Jun 2026 12:58 UTC

Interlock та Rhysida: Штучний інтелект у екосистемі програм-вимагачів

Author Photo
SOC Prime Team linkedin icon Стежити
Interlock та Rhysida: Штучний інтелект у екосистемі програм-вимагачів
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Резюме

Дослідження IBM X-Force вказує на сильний зв’язок між екосистемами програм-вимагачів Interlock (Hive0163) та Rhysida. У звіті описана складна мережа спільних сімейств зловмисних програм, спеціалізованих криптерів та координованих початкових брокерів доступу. Interlock виглядає як дуже зріла група загроз, що використовує спеціальний інструментарій, такий як NodeSnake та InterlockRAT, і, можливо, еволюціонувала від операторів, раніше пов’язаних з Rhysida.

Розслідування

X-Force проводила довгострокове дослідження протягом більше ніж двох років, аналізуючи зразки зловмисних програм, ланцюги атак і інфраструктуру інсценування. Розслідування виявило суттєві подібності коду в кількох бекдорах і відслідкувало розробку присвячених криптерів, таких як JunkFiction і Tomb. Дослідники також відзначили зв’язки між загрозливими акторами та початковими брокерами доступу через перекриваючу інфраструктуру та використання інструментів.

Пом’якшення

Організації повинні розгорнути сильні можливості виявлення та реагування на кінцевих точках для ідентифікації підозрілої поведінки процесів, включаючи несподівану активність PowerShell та несанкціоновані зміни реєстру. Оперативне оновлення мережевих пристроїв, що відповідають в Інтернеті, є важливим для зменшення ризику експлуатації, включаючи уразливості, такі як CVE-2026-20131. Застосування суворих контролів WDAC та моніторинг на предмет неузгодженої активності інструментів RMM також можуть обмежити операції після компрометації.

Відповідь

Якщо підозрюється активність Interlock або Rhysida, негайно ізолюйте постраждалі системи для припинення латерального переміщення через тунелі RDP або SOCKS5. Проведіть ретельний огляд інфраструктури інсценування і перевірте на несанкціоновані інструменти віддаленого керування, такі як ConnectWise ScreenConnect. Перевірте журнали на підозріле виконання PowerShell та розслідуйте будь-які несанкціоновані зміни, що стосуються запланованих завдань або сервісів systemd.

Потік атаки

Виявлення

Можливі точки стійкості [ASEPs – Software/NTUSER Hive] (через registry_event)

Команда SOC Prime
16 червня 2026

Завантаження або вивантаження через Powershell (через cmdline)

Команда SOC Prime
16 червня 2026

Можлива інвентаризація системи (через cmdline)

Команда SOC Prime
16 червня 2026

Можливе виявлення віддалених систем або перевірка підключення (через cmdline)

Команда SOC Prime
16 червня 2026

Можливе перерахування адміністративних акаунтів або груп (через cmdline)

Команда SOC Prime
16 червня 2026

Підозріле виявлення довіри до доменів (через cmdline)

Команда SOC Prime
16 червня 2026

Можливі перевірки ухилення (через powershell)

Команда SOC Prime
16 червня 2026

Підозрілі бінарні файли / скрипти в автозавантаженні (через file_event)

Команда SOC Prime
16 червня 2026

Можливе зловживання Telegram як канал управління та контролю (через dns_query)

Команда SOC Prime
16 червня 2026

Запит DNS Steam Community, виконаний підозрілим процесом (через dns_query)

Команда SOC Prime
16 червня 2026

IOC (HashSha256) для виявлення: Security Artificial Intelligence: Interlock та Rhysida у частині 3 екосистеми програм-вимагачів

Правила SOC Prime AI
16 червня 2026

IOC (HashSha256) для виявлення: Security Artificial Intelligence: Interlock та Rhysida у частині 2 екосистеми програм-вимагачів

Правила SOC Prime AI
16 червня 2026

IOC (HashSha256) для виявлення: Security Artificial Intelligence: Interlock та Rhysida у частині 1 екосистеми програм-вимагачів

Правила SOC Prime AI
16 червня 2026

IOC (SourceIP) для виявлення: Security Artificial Intelligence: Interlock та Rhysida у екосистемі програм-вимагачів

Правила SOC Prime AI
16 червня 2026

IOC (DestinationIP) для виявлення: Security Artificial Intelligence: Interlock та Rhysida у екосистемі програм-вимагачів

Правила SOC Prime AI
16 червня 2026

Виявлення завантажувача JunkFiction та запланованого PowerShell скрипта [Windows Powershell]

Правила SOC Prime AI
16 червня 2026

Виявлення бекдора Supper та завантажувача JunkFiction [створення процесу Windows]

Правила SOC Prime AI
16 червня 2026

Виявлення діяльності NodeSnake та InterlockRAT [створення процесу Linux]

Правила SOC Prime AI
16 червня 2026

Виконання симуляції

Передумова: Перевірка телеметрії та базових показників повинна бути пройдена.

Обґрунтування: У цьому розділі детально описується точне виконання техніки противника (TTP), розробленої для активації правила виявлення. Команди та наратив МАЮТЬ безпосередньо відображати TTP, і повинні генерувати точну телеметрію, очікувану виявленням логіки. Абстрактні або не пов’язані приклади призведуть до неправильного діагнозу.

  • Атака, наратив і команди: Супротивник успішно зламав робочу станцію розробника через атаку на ланцюг поставок (T1195.003). Він скинув зловмисне навантаження Node.js під назвою InterlockRAT.js у тимчасовий каталог. Мета – встановити постійний бекдор для полегшення латерального переміщення в мережі. Зловмисник запускає скрипт, використовуючи середовище виконання node, передаючи певні аргументи для ініціалізації SOCKS5 проксі для тунелювання трафіку. Ця конкретна команда розроблена для активації існуючої логіки виявлення. runtime, passing specific arguments to initialize a SOCKS5 proxy for tunneling traffic. This specific command is designed to trigger the existing detection logic.

  • Скрипт для регресійного тесту:

    # Створіть бутафорний каталог для зловмисного ПЗ
    mkdir -p /tmp/malware_drop
    
    # Створіть 'зловмисний' файл InterlockRAT.js
    cat <<EOF > /tmp/malware_drop/InterlockRAT.js
    // Логіка симуляції шкідливого ПЗ
    console.log("Ініціалізація навантаження InterlockRAT...");
    EOF
    
    # Запустіть файл з певними рядками, необхідними для активації правила
    node /tmp/malware_drop/InterlockRAT.js --mode SOCKS5 --target reverse shell 10.0.0.5
  • Команди очищення:

    # Видаліть симульовані файли та каталоги зловмисного ПЗ
    rm -rf /tmp/malware_drop