باند Interlock Ransomware در حال استقرار یک تروجان دسترسی از راه دور قبلاً بدون مدارک (RAT) به نام Nodesnake در برابر مؤسسات آموزشی برای دسترسی مداوم به شبکه های شرکت است.

محققان Quorumcyber گزارش می دهند که در دو مورد در دو مورد در دانشگاه های انگلستان در ژانویه و مارس 2025 ، استقرار NoDesnake را در حداقل دو مورد هدف قرار می دهد.

دو نمونه بدافزار به طور قابل توجهی متفاوت است و نشانگر توسعه فعال برای افزودن ویژگی ها و قابلیت های جدید در Nodesnake است.

همانطور که برای اولین بار توسط BleepingComputer گزارش شده است ، Interlock یک گروه باج افزار است که در سپتامبر 2024 راه اندازی شده است. قبلاً دانشگاه تگزاس فناوری ، شرکت دیالیز کلیه داویتا و شبکه پزشکی بهداشتی Kettering در اوهایو را هدف قرار داده است.

گروه تهدید همچنین در حال استفاده از حملات “ClickFix” است که برای دستیابی به عفونت اولیه و نفوذ شبکه ، ابزارهای IT را جعل می کند.

بدافزار موش Nodesnake جدید

آخرین حملات Interlock به موسسات آموزشی با ایمیل های فیشینگ حامل پیوندهای مخرب یا پیوست هایی که منجر به عفونت موش Nodesnake می شود ، شروع می شود.

بدافزار JavaScript ، که با NodeJS اجرا می شود ، با استفاده از اسکریپت های PowerShell یا CMD برای نوشتن یک ورودی رجیستری فریبنده به نام “ChromeUpdater” برای ایجاد جعل به روزرسانی Google Chrome ، تداوم عفونت را ایجاد می کند.

برای فرار ، بدافزار به عنوان یک فرآیند پس زمینه جدا شده اجرا می شود ، نام های پرونده و بارهای بارهای به نام های تصادفی اختصاص می یابد و آدرس های فرمان و کنترل (C2) با تأخیرهای تصادفی از طریق آن چرخه می شوند.

علاوه بر این ، این بدافزار دارای کد سنگین کد سنگین ، رمزگذاری XOR با یک کلید نورد و دانه های تصادفی است و برای ایجاد اختلال در خروجی اشکال زدایی طبیعی ، دستکاری کنسول را انجام می دهد.

اگرچه آدرس IP C2 به سختی کدگذاری شده است ، اتصال از طریق دامنه های Cloudflare-proxied برای انسداد مسیریابی می شود.

پس از فعال شدن در دستگاه آلوده ، ابرداده کلیدی را در مورد کاربر ، فرآیندهای در حال اجرا ، خدمات و تنظیمات شبکه جمع آوری کرده و آن را به C2 منتقل می کند.

این بدافزار می تواند فرآیندهای فعال را از بین ببرد یا بارهای اضافی ، DLL یا JavaScript را در دستگاه بارگذاری کند.

نوع جدید NodesNake همچنین می تواند دستورات CMD را اجرا کند و از ماژول های اضافی برای تغییر رفتار نظرسنجی C2 به صورت پویا استفاده کند. نتایج فرمان در بسته های داده های اگزیلتراسیون همراه است و امکان تعامل پوسته در زمان واقعی را فراهم می کند.

وجود Nodesnake و توسعه مداوم آن نشانه ای از تکامل مداوم و تمرکز بر پایداری خفا طولانی مدت است.

لیست کامل شاخص های سازش برای این تهدید در پایین گزارش quorumcyber موجود است.

نظارت بر این موارد می تواند به مسدود کردن حملات باج افزار در اوایل قبل از اتمام Interlock به مرحله اکتشاف و رمزگذاری داده ها کمک کند.