- Специальный корреспондент
Зловещий NodeSnake научился ползать по PHP — и теперь он ещё опаснее.
image
В последние месяцы ИБ-специалисты наблюдают всплеск активности группы Interlock, стоящей за вредоносной программой NodeSnake — также известной как Interlock RAT. Согласно совместному техническому отчёту The DFIR Report и Proofpoint, с мая 2025 года злоумышленники используют обновлённую инфраструктуру, связанную с киберугрозой LandUpdate808 (также известной под названием KongTuke), и распространяют не только уже известный Node.js-вариант трояна, но и его новую PHP-реализацию.
Атака начинается с заражённых сайтов: на страницы незаметно встраивается однострочный скрипт, который остаётся скрытым как для владельцев ресурсов, так и для обычных пользователей. Этот скрипт запускает систему распределения трафика (TDS), которая фильтрует посетителей по IP-адресам. Те, кто проходит фильтр, перенаправляются на поддельную страницу с проверкой CAPTCHA. Там пользователю предлагается выполнить PowerShell-команду — именно она запускает процесс заражения, ведущий к установке трояна.
Особенность этой кампании — использование механизма FileFix, представляющего собой модифицированный ClickFix. Его работа основывается на уязвимости, позволяющей использовать адресную строку проводника Windows для запуска команд. Концепция FileFix была впервые описана как proof-of-concept в июне 2025 года независимым исследователем под псевдонимом mrd0x.
Изначально Interlock RAT был построен на Node.js и применялся, например, в атаках на муниципальные и образовательные учреждения Великобритании в начале 2025 года. Однако в июне и июле зафиксированы случаи распространения PHP-варианта. Согласно наблюдениям специалистов, заражение начинается с установки именно этой версии трояна, а затем на машину может быть загружена и классическая Node.js-модификация. Такой подход позволяет злоумышленникам атаковать более широкий круг целей, поскольку PHP-реализация легче встраивается в веб-инфраструктуру.
Вредоносная программа после установки сразу выполняет сбор информации о системе, передавая данные в формате JSON на удалённый сервер. Она проверяет уровень привилегий — пользователь, администратор или системный процесс — и в зависимости от этого загружает дополнительные модули в виде EXE или DLL-файлов. Для сохранения доступа к системе троян изменяет параметры реестра Windows и активирует удалённый рабочий стол (RDP), обеспечивая возможность перемещения внутри корпоративной сети.
Отдельного внимания заслуживает метод маскировки трафика. Interlock RAT использует поддомены Cloudflare Tunnel , что значительно затрудняет отслеживание и блокировку командных серверов. В случае потери связи через туннель программа обращается к жёстко зашитым IP-адресам — это обеспечивает резервную связность и устойчивость инфраструктуры злоумышленников.
Обнаружение новой PHP-версии указывает на дальнейшее развитие инструментов Interlock и высокую степень адаптивности их подхода. Использование знакомых языков программирования и системных функций делает угрозу универсальной и сложнообнаружимой.
image
В последние месяцы ИБ-специалисты наблюдают всплеск активности группы Interlock, стоящей за вредоносной программой NodeSnake — также известной как Interlock RAT. Согласно совместному техническому отчёту The DFIR Report и Proofpoint, с мая 2025 года злоумышленники используют обновлённую инфраструктуру, связанную с киберугрозой LandUpdate808 (также известной под названием KongTuke), и распространяют не только уже известный Node.js-вариант трояна, но и его новую PHP-реализацию.
Атака начинается с заражённых сайтов: на страницы незаметно встраивается однострочный скрипт, который остаётся скрытым как для владельцев ресурсов, так и для обычных пользователей. Этот скрипт запускает систему распределения трафика (TDS), которая фильтрует посетителей по IP-адресам. Те, кто проходит фильтр, перенаправляются на поддельную страницу с проверкой CAPTCHA. Там пользователю предлагается выполнить PowerShell-команду — именно она запускает процесс заражения, ведущий к установке трояна.
Особенность этой кампании — использование механизма FileFix, представляющего собой модифицированный ClickFix. Его работа основывается на уязвимости, позволяющей использовать адресную строку проводника Windows для запуска команд. Концепция FileFix была впервые описана как proof-of-concept в июне 2025 года независимым исследователем под псевдонимом mrd0x.
Изначально Interlock RAT был построен на Node.js и применялся, например, в атаках на муниципальные и образовательные учреждения Великобритании в начале 2025 года. Однако в июне и июле зафиксированы случаи распространения PHP-варианта. Согласно наблюдениям специалистов, заражение начинается с установки именно этой версии трояна, а затем на машину может быть загружена и классическая Node.js-модификация. Такой подход позволяет злоумышленникам атаковать более широкий круг целей, поскольку PHP-реализация легче встраивается в веб-инфраструктуру.
Вредоносная программа после установки сразу выполняет сбор информации о системе, передавая данные в формате JSON на удалённый сервер. Она проверяет уровень привилегий — пользователь, администратор или системный процесс — и в зависимости от этого загружает дополнительные модули в виде EXE или DLL-файлов. Для сохранения доступа к системе троян изменяет параметры реестра Windows и активирует удалённый рабочий стол (RDP), обеспечивая возможность перемещения внутри корпоративной сети.
Отдельного внимания заслуживает метод маскировки трафика. Interlock RAT использует поддомены Cloudflare Tunnel , что значительно затрудняет отслеживание и блокировку командных серверов. В случае потери связи через туннель программа обращается к жёстко зашитым IP-адресам — это обеспечивает резервную связность и устойчивость инфраструктуры злоумышленников.
Обнаружение новой PHP-версии указывает на дальнейшее развитие инструментов Interlock и высокую степень адаптивности их подхода. Использование знакомых языков программирования и системных функций делает угрозу универсальной и сложнообнаружимой.
