【安全资讯】Interlock勒索软件团伙在大学部署新型NodeSnake RAT

概要：

Interlock勒索软件团伙近期在英国的教育机构中部署了一种名为NodeSnake的远程访问木马（RAT），引发了对网络安全的广泛关注。该木马的出现标志着该团伙在持续获取企业网络访问权限方面的又一进展，尤其是在教育领域的攻击活动中。

主要内容：

Interlock团伙自2024年9月成立以来，已针对多家机构展开攻击，包括德克萨斯理工大学和达维塔肾脏透析公司。根据QuorumCyber的研究，NodeSnake RAT在2025年1月和3月的两起针对英国大学的案例中被发现，其样本显著不同，表明该木马仍在积极开发中，以增加新功能和能力。

NodeSnake RAT的攻击通常始于带有恶意链接或附件的网络钓鱼邮件，感染后，该木马通过PowerShell或CMD脚本创建一个名为'ChromeUpdater'的虚假注册表项，以伪装成谷歌Chrome的更新程序。为了逃避检测，NodeSnake以分离的后台进程运行，文件名和有效负载随机化，并且命令与控制（C2）地址通过随机延迟进行轮换。

此外，该木马采用了重度代码混淆和XOR加密，并通过Cloudflare代理域名进行连接，以增加隐蔽性。一旦在受感染的设备上激活，NodeSnake会收集用户的关键元数据，并将其外泄至C2服务器。该木马还可以终止活动进程或加载额外的EXE、DLL或JavaScript有效负载，显示出Interlock团伙在长期隐蔽性和持续性方面的不断演变。