近来,Interlock勒索软件组织的威胁行为者发布了一个基于PHP的新型远程访问木马(RAT)变种,利用名为FileFix的变体传播机制进行大规模恶意活动。这一新型攻击方式不仅突显了网络犯罪分子在工具研发和传播技术上的持续进步,也暴露了多个行业在防御能力方面存在的漏洞和挑战。Interlock RAT最初以其基于Node.js的构架而闻名,具备持久化访问、系统侦察及远程指令执行等功能,曾被记录在针对英国地方政府及高等教育机构的攻击中。此次新变种将攻击手法转向了更普遍应用的PHP语言,通过web服务器被植入简短的JavaScript脚本隐藏于网页HTML源码中,实现对访问者的流量分发和劫持。攻击链始于受感染网站,该网站的HTML页面暗中注入一条精简脚本,未被网站所有者察觉。脚本利用IP过滤将用户重定向至伪造的验证码核验页面,通过类似ClickFix的FileFix机制诱导受害者执行恶意PowerShell脚本,从而部署Interlock RAT的新PHP版本。
JavaScript流量分发系统的巧妙设计利用了受害者对普通网页动作的信任,加上FileFix利用Windows资源管理器地址栏执行命令的原生功能,使得攻击更隐蔽,难以通过传统安全检测手段被发现。尤其值得关注的是,FileFix传递机制比早期的ClickFix更为隐秘,攻击者无需复杂漏洞,而是依赖用户熟悉的Windows操作习惯,使恶意载荷悄无声息地植入目标系统。安装后的Interlock RAT不仅会对主机进行系统信息侦察,并以JSON格式收集数据,还会自动识别自身在系统中的权限等级,包括普通用户、管理员或系统权限,并根据实际环境决定后续的指令执行策略。受感染设备随后与远程命令与控制(C2)服务器建立联系,下载并执行各种EXE或DLL格式的载荷,实现远程操控及横向扩散。恶意软件通过修改Windows注册表保持持久存在,同时利用远程桌面协议(RDP)进行网络内的扩散,极大地提高了攻击的广度和深度。Interlock RAT恶意代码的通信设计也体现了极高的操作复杂度。
攻击团伙巧妙利用Cloudflare隧道子域名隐藏其C2服务器的真实位置,并内置硬编码的IP地址作为备份,当隧道服务被关闭时仍保证通信的稳定性和连续性。这种多重通信路径确保恶意软件能够在遭受防御措施阻断时继续控制受害主机。多方研究机构如The DFIR Report、Proofpoint及Check Point分别在2025年中旬发布了关于该威胁的技术分析及趋势预警。Check Point安全专家指出,FileFix作为ClickFix的进化版本,已被多个威胁组织迅速采纳并试验,有效结合了搜索引擎优化(SEO)投毒等社会工程学手段诱导用户访问恶意网站。恶意站点通常伪装成可信的服务入口,尤其针对加密货币交易所用户及其他高价值目标,诱使受害者落入陷阱。近年来,利用钓鱼邮件配合假冒知名品牌和机构标识的攻击活动频繁发生,极大提升了攻击的成功率。
受害者一旦点击链接进入伪造的验证码页面,便触发恶意PowerShell脚本,通过DLL侧加载技术启动Octowave Loader等恶意载荷,进一步搭建恶意远控和信息窃取链条。针对当前形势,企业与组织必须重视包括基于PHP的新型恶意软件威胁在内的多维度网络安全挑战。首先,加强网站和服务器的安全防护,及时检测和清除被植入的可疑脚本,避免成为攻击跳板。在终端防护方面,部署具备高级行为检测能力的安全工具,尤其关注PowerShell、资源管理器等系统组件的异常操作行为。同时,强化对注册表及RDP活动的监控,防止恶意软件利用系统配置实现持久化和横向渗透。用户端教育同样不可或缺,提升员工对钓鱼邮件、伪造网站和不明链接的警觉性,避免因误操作导致安全事件。
企业应不断更新安全策略,结合威胁情报及时响应新兴攻击手段。总体来看,Interlock PHP版本及FileFix传播机制的出现代表了网络攻击者在结合技术和社会工程学攻击上的进一步融合,显著提升了攻击的隐蔽性和破坏力。面对日益复杂的攻击链条,只有通过持续的防御创新和多层次安全协作,才能有效遏制此类高级威胁的扩散,保护关键信息基础设施的安全稳定运行。随着网络安全态势的不断变化,企业和安全从业者需要密切关注类似Interlock RAT等恶意软件的演化趋势,结合专业威胁情报和技术分析,构建动态、多维的防御体系,增强对快速变异攻击手法的应对能力。安全意识与技术手段的双重提升,是对抗新一代远程访问木马及其传播机制的关键保障。
