Interlock Ransomware Grubunun Yeni Tehditi: PHP Tabanlı RAT
Son yıllarda, siber güvenlik alanında gelişen tehditler ve zararlı yazılımlar, bireyler ve organizasyonlar için büyük riskler oluşturmaktadır. Özellikle, Interlock ransomware grubuna ait yeni gelişmeler, dikkat çekici bir şekilde genişleyen bir kampanya içinde ortaya çıkmıştır. Bu yazıda, Interlock’un son PHP varyantı üzerine odaklanacağız ve bu yazılımın nasıl çalıştığını inceleyeceğiz.
Kampanyanın Başlangıcı
Interlock ransomware grubunun yeni etkenleri, “LandUpdate808” (aka KongTuke) gibi tehdit kümeleriyle bağlantılı olarak, Mayıs 2025 itibariyle belirgin bir aktivite göstermeye başlamıştır. Uzmanların yaptığı teknik bir analiz, Interlock RAT’ın bir kısmını oluşturan zararlı yazılımların nasıl yayıldığını detaylandırmaktadır. Bu kampanya, genellikle web sitesi sahipleri veya ziyaretçileri tarafından bilinmeden, sayfanın HTML kısmına gizlenmiş bir tek satırlık JavaScript kodu ile başlamaktadır.
Bu kod, şüpheli kullanıcıları sahte CAPTCHA doğrulama sayfalarına yönlendiren bir trafik dağıtım sistemi (TDS) işlevi görmektedir. Kullanıcılar, PowerShell komut dosyasını çalıştırmaya yönlendirilmekte ve bu işlem sonucunda NodeSnake (aka Interlock RAT) zararlı yazılımı yüklendirilmektedir.
Zararlı Yazılımın Etkileri
NodeSnake zararlı yazılımı, daha önce Quorum Cyber tarafından belgelenmiş ve Birleşik Krallık’taki yerel yönetim ve yüksek öğrenim kuruluşlarını hedef alan siber saldırılarda kullanılmıştır. Bu yazılım, sürekli erişim sağlamanın yanı sıra sistem keşfi ve uzaktan komut yürütme yetenekleri sunmaktadır.
Yeni kampanyalarda tespit edilen PHP varyantı ise, ClickFix’in evrimsel bir versiyonu olan FileFix aracılığıyla dağıtılmaktadır. Bu sistemin, kurbanların Windows File Explorer adres çubuğunu kullanarak komutlar kopyalayıp çalıştırmalarını sağlamak amacıyla tasarlandığı ortaya çıkmıştır.
Hedeflenmiş Sektörler ve Stratejiler
Interlock RAT’ın PHP varyantının dağıtım mekanizmasının, hedeflenen sektörler arasında büyük bir çeşitlilik barındırdığı değerlendirilmiştir. Kamu sektörü, eğitim ve diğer endüstriler, bu tür saldırılara maruz kalabilen alanlar arasındadır. Araştırmacılar, bu yeni dağıtım yönteminin, daha önce Node.js kullanan versiyonların ardından gelen opportunistik bir yaklaşım olduğunu belirtmektedir.
Bir host üzerine kurulduktan sonra, RAT malware, enfekte olmuş makinenin keşfini gerçekleştirir ve sistem bilgilerini JSON formatında dışarıya aktarır. Ayrıca, kullanıcı ayrıcalıklarını kontrol ederek çalıştırıldığı ortam hakkında bilgi toplar.
Veri Koruma ve İletişim Yöntemleri
Interlock, bulaştığı makinede kalıcı olabilmek için Windows Kayıt Defteri değişiklikleri yaparken, Remote Desktop Protocol (RDP) kullanarak yan hareket (lateral movement) imkanı sağlar. Zararlı yazılımın önemli bir özelliği, komut ve kontrol sunucusunun (C2) gerçek konumunu gizlemek için Cloudflare Tunnel alt alanlarını kullanmasıdır. Bu sayede, bağlantının güvenliği artırılmakta ve zararlı yazılımın etkili bir şekilde çalışması sağlanmaktadır.
Sonuç ve Siber Güvenlik Önlemleri
Interlock grubunun gelişen araçları ve operasyonel yetkinlikleri, siber güvenlik uzmanlarını düşündürmeye devam etmektedir. Node.js tabanlı versiyonun yanında PHP kullanımının yaygınlaşması, bu grubun siber saldırı stratejilerindeki değişim ve öğrenmeyi gösteriyor. Bu nedenle, hem bireylerin hem de kurumların, bu tehditlere karşı daha proaktif ve katı güvenlik önlemleri alması gerekmektedir.
Bilişim güvenliği sadece teknoloji ile ilgili değil, aynı zamanda farkındalık ve eğitimle de yakından ilişkilidir. Bu yazıda ele alınan veriler ışığında, siber tehditleri önlemenin yollarını araştırmak, her zaman önemini koruyacaktır.
