Interlock та Rhysida: Штучний інтелект у екосистемі програм-вимагачів

SOC Prime Team

Стежити

Interlock та Rhysida: Штучний інтелект у екосистемі програм-вимагачів

Detection stack

AIDR
Alert
ETL
Query

Звіт про загрози
Потік атаки
Виявлення
Симуляції

Резюме

Дослідження IBM X-Force вказує на сильний зв’язок між екосистемами програм-вимагачів Interlock (Hive0163) та Rhysida. У звіті описана складна мережа спільних сімейств зловмисних програм, спеціалізованих криптерів та координованих початкових брокерів доступу. Interlock виглядає як дуже зріла група загроз, що використовує спеціальний інструментарій, такий як NodeSnake та InterlockRAT, і, можливо, еволюціонувала від операторів, раніше пов’язаних з Rhysida.

Розслідування

X-Force проводила довгострокове дослідження протягом більше ніж двох років, аналізуючи зразки зловмисних програм, ланцюги атак і інфраструктуру інсценування. Розслідування виявило суттєві подібності коду в кількох бекдорах і відслідкувало розробку присвячених криптерів, таких як JunkFiction і Tomb. Дослідники також відзначили зв’язки між загрозливими акторами та початковими брокерами доступу через перекриваючу інфраструктуру та використання інструментів.

Пом’якшення

Організації повинні розгорнути сильні можливості виявлення та реагування на кінцевих точках для ідентифікації підозрілої поведінки процесів, включаючи несподівану активність PowerShell та несанкціоновані зміни реєстру. Оперативне оновлення мережевих пристроїв, що відповідають в Інтернеті, є важливим для зменшення ризику експлуатації, включаючи уразливості, такі як CVE-2026-20131. Застосування суворих контролів WDAC та моніторинг на предмет неузгодженої активності інструментів RMM також можуть обмежити операції після компрометації.

Відповідь

Якщо підозрюється активність Interlock або Rhysida, негайно ізолюйте постраждалі системи для припинення латерального переміщення через тунелі RDP або SOCKS5. Проведіть ретельний огляд інфраструктури інсценування і перевірте на несанкціоновані інструменти віддаленого керування, такі як ConnectWise ScreenConnect. Перевірте журнали на підозріле виконання PowerShell та розслідуйте будь-які несанкціоновані зміни, що стосуються запланованих завдань або сервісів systemd.

graph TB %% Визначення класів classDef initial_access fill:#f96,stroke:#333,stroke-width:2px classDef evasion fill:#bbf,stroke:#333,stroke-width:2px classDef execution fill:#dfd,stroke:#333,stroke-width:2px classDef persistence fill:#fdd,stroke:#333,stroke-width:2px classDef command_control fill:#ffd,stroke:#333,stroke-width:2px classDef discovery fill:#dff,stroke:#333,stroke-width:2px classDef lateral_movement fill:#dcd,stroke:#333,stroke-width:2px classDef impact fill:#f99,stroke:#333,stroke-width:2px classDef tool_malware fill:#eee,stroke:#333,stroke-width:1px %% Фаза початкового доступу action_drive_by[“Дія – Жертв заманюють через шахрайські вебсайти, шкідливу рекламу або перенаправлення з пошукових систем.”] class action_drive_by initial_access action_content_injection[“Дія – Використання систем розподілу трафіку (TDS), таких як TAG-124 або ClickFix, для перенаправлення користувачів.”] class action_content_injection initial_access action_subvert_trust[“Дія – Використання шахрайських сертифікатів, наприклад Foshan Yongqiheng Trading Co., Ltd.”] class action_subvert_trust evasion %% Фаза виконання та передачі action_user_exec[“Дія – Запуск троянізованих інсталяторів (наприклад Microsoft Teams, Chrome або Edge).”] class action_user_exec execution malware_initial_payload[“Шкідливе ПЗ – JunkFiction, NodeSnake або Endico Завантажувачі першого етапу, які запускаються через взаємодію користувача.”] class malware_initial_payload tool_malware action_ingress_transfer[“Дія – Отримання шкідливого ПЗ другого етапу з віддалених серверів командування та керування.”] class action_ingress_transfer execution malware_second_stage[“Шкідливе ПЗ – Supper або InterlockRAT Бекдори другого етапу, призначені для забезпечення віддаленого доступу.”] class malware_second_stage tool_malware %% Фаза закріплення action_persistence_linux[“Дія – Варіанти NodeSnake для Linux створюють нові служби systemd.”] class action_persistence_linux persistence action_persistence_windows[“Дія – Закріплення у Windows Використання змін конфігурації shell для збереження доступу.”] class action_persistence_windows persistence %% Фаза командування та керування action_c2[“Дія – Створення зворотних shell-з’єднань та SOCKS5 тунелів для прихованого зв’язку.”] class action_c2 command_control %% Фаза розвідки action_discovery_domain[“Дія – Перелік доменних облікових записів за допомогою команд типу net user /domain.”] class action_discovery_domain discovery action_discovery_groups[“Дія – Перелік груп за допомогою net group domain admins /domain.”] class action_discovery_groups discovery %% Фаза латерального переміщення та впливу action_lateral_move[“Дія – Переміщення середовищем через RDP-сесії, створені за допомогою reverse shell.”] class action_lateral_move lateral_movement action_selective_exclusion[“Дія – Вибіркове виключення Розгортання власних політик WDAC для блокування Microsoft Defender або Sophos EDR.”] class action_selective_exclusion evasion action_impact_encryption[“Дія – Фінальне розгортання програм-вимагачів Interlock або Rhysida для шифрування файлів жертви.”] class action_impact_encryption impact %% Зв’язки action_drive_by –>|сприяє| action_content_injection action_content_injection –>|призводить_до| action_user_exec action_user_exec –>|використовує| malware_initial_payload malware_initial_payload –>|потребує| action_subvert_trust malware_initial_payload –>|запускає| action_ingress_transfer action_ingress_transfer –>|завантажує| malware_second_stage malware_second_stage –>|створює| action_persistence_linux malware_second_stage –>|створює| action_persistence_windows malware_second_stage –>|активує| action_c2 action_c2 –>|виконує| action_discovery_domain action_c2 –>|виконує| action_discovery_groups action_discovery_domain –>|надає_інформацію| action_lateral_move action_discovery_groups –>|надає_інформацію| action_lateral_move action_lateral_move –>|призводить_до| action_selective_exclusion action_selective_exclusion –>|передує| action_impact_encryption

Interlock та Rhysida: Штучний інтелект у екосистемі програм-вимагачів

Резюме

Розслідування

Пом’якшення

Відповідь

Потік атаки

Виявлення

Можливі точки стійкості [ASEPs – Software/NTUSER Hive] (через registry_event)

Завантаження або вивантаження через Powershell (через cmdline)

Можлива інвентаризація системи (через cmdline)

Можливе виявлення віддалених систем або перевірка підключення (через cmdline)

Можливе перерахування адміністративних акаунтів або груп (через cmdline)

Підозріле виявлення довіри до доменів (через cmdline)

Можливі перевірки ухилення (через powershell)

Підозрілі бінарні файли / скрипти в автозавантаженні (через file_event)

Можливе зловживання Telegram як канал управління та контролю (через dns_query)

Запит DNS Steam Community, виконаний підозрілим процесом (через dns_query)

IOC (HashSha256) для виявлення: Security Artificial Intelligence: Interlock та Rhysida у частині 3 екосистеми програм-вимагачів

IOC (HashSha256) для виявлення: Security Artificial Intelligence: Interlock та Rhysida у частині 2 екосистеми програм-вимагачів

IOC (HashSha256) для виявлення: Security Artificial Intelligence: Interlock та Rhysida у частині 1 екосистеми програм-вимагачів

IOC (SourceIP) для виявлення: Security Artificial Intelligence: Interlock та Rhysida у екосистемі програм-вимагачів

IOC (DestinationIP) для виявлення: Security Artificial Intelligence: Interlock та Rhysida у екосистемі програм-вимагачів

Виявлення завантажувача JunkFiction та запланованого PowerShell скрипта [Windows Powershell]

Виявлення бекдора Supper та завантажувача JunkFiction [створення процесу Windows]

Виявлення діяльності NodeSnake та InterlockRAT [створення процесу Linux]

Виконання симуляції