Interlock勒索软件组织近期开始在教育机构部署一种名为NodeSnake的新型远程访问木马(RAT),以长期访问这些机构的企业网络。据报道,QuorumCyber的研究人员发现了NodeSnake在2025年1月和3月针对英国大学的至少两起案例。
这些恶意软件样本之间存在显著差异,表明NodeSnake正在积极开发中,以增加新功能和能力。Interlock组织首次被报道是在2024年9月成立,之前曾攻击过Texas Tech University、DaVita肾透析公司以及位于俄亥俄州的Kettering Health医疗网络。
最新的NodeSnake木马攻击通过携带恶意链接或附件的钓鱼邮件开始,导致NodeSnake RAT感染。这种JavaScript恶意软件通过NodeJS执行,使用PowerShell或CMD脚本写入一个名为’ChromeUpdater’的欺骗性注册表项来伪装成Google Chrome的更新程序,以建立持久性。
此外,这种恶意软件具有重度代码混淆、使用滚动密钥和随机种子的XOR加密,并执行控制台篡改以干扰正常的调试输出。尽管C2 IP地址是硬编码的,但连接通过Cloudflare代理的域进行混淆。一旦在受感染的机器上激活,它会收集关于用户、运行进程、服务和网络配置的关键元数据,并将其传输至C2。