باج‌افزار Interlock از بدافزار جدید NodeSnake در حملات به دانشگاه‌های بریتانیا استفاده می‌کند

گروه باج‌افزار «Interlock» اخیراً حملاتی را علیه دانشگاه‌های بریتانیا انجام داده است که در آن‌ها از بدافزار جدیدی به نام «NodeSnake» استفاده شده است. این بدافزار، که نوعی تروجان دسترسی از راه دور (RAT) است، به گونه‌ای طراحی شده که دسترسی پایداری به شبکه‌های قربانیان فراهم کند و در عین حال از شناسایی توسط ابزارهای امنیتی جلوگیری نماید.

ویژگی‌های فنی NodeSnake

NodeSnake با استفاده از زبان JavaScript و اجرای آن از طریق Node.js توسعه یافته است. این بدافزار پس از نفوذ به سیستم، با استفاده از اسکریپت‌های PowerShell یا CMD، ورودی‌های رجیستری جعلی با نام‌هایی مانند «ChromeUpdater» ایجاد می‌کند تا به‌عنوان به‌روزرسانی‌کننده مرورگر Chrome شناخته شود. همچنین، برای جلوگیری از شناسایی، از تکنیک‌هایی مانند رمزگذاری XOR با کلیدهای متغیر، فشرده‌سازی zlib و تغییر نام فایل‌ها به صورت تصادفی استفاده می‌کند.نسخه‌های جدیدتر این بدافزار قابلیت‌های پیشرفته‌تری دارند، از جمله اجرای دستورات CMD و تغییرات پویا در رفتار ارتباط با سرورهای فرماندهی و کنترل (C2). این ویژگی‌ها به مهاجمان امکان می‌دهد تا به‌صورت بلادرنگ با سیستم‌های آلوده تعامل داشته باشند و داده‌های حساس را استخراج کنند.

اهداف و پیامدها

تحقیقات نشان می‌دهد که گروه Interlock از NodeSnake برای حمله به دانشگاه‌های بریتانیا در ژانویه و مارس ۲۰۲۵ استفاده کرده است. این حملات به‌طور خاص بر روی استخراج داده‌های حساس، از جمله اطلاعات پژوهشی و مالکیت فکری، متمرکز بوده‌اند. این روند نشان‌دهنده تغییر استراتژی گروه‌های باج‌افزار از حملات سریع به حملات پنهانی و بلندمدت است. Medium

اقدامات پیشنهادی برای مقابله

برای محافظت در برابر چنین تهدیداتی، توصیه می‌شود:

• استفاده از راهکارهای پیشرفته شناسایی و پاسخ به تهدیدات (EDR)
• پیاده‌سازی مدل‌های دسترسی صفر اعتماد (Zero Trust)
• تقسیم‌بندی دقیق شبکه‌ها
• به‌روزرسانی منظم سیستم‌ها و نرم‌افزارها
• پشتیبان‌گیری منظم از داده‌ها و ذخیره آن‌ها در مکان‌های امن

با توجه به پیچیدگی و پیشرفت‌های مداوم در بدافزارهایی مانند NodeSnake، سازمان‌ها باید رویکردهای امنیتی خود را به‌روز نگه دارند و از راهکارهای چندلایه برای محافظت از زیرساخت‌های خود استفاده کنند.