Анализ NodeSnake: эволюция RAT и угрозы для вузов Великобритании
Новые угрозы в вузах Великобритании: анализ троянских программ NodeSnake от Quorum Cyber
В начале 2025 года команда Quorum Cyber провела глубокий анализ двух троянских программ удаленного доступа (RATs) — NodeSnake.A и NodeSnake.B. Эти вредоносные программы были связаны с инцидентами в высших учебных заведениях Великобритании и представляют собой новый уровень сложности в мире киберугроз. Разработанные на JavaScript с использованием NodeJS, они демонстрируют поэтапное развитие функционала и тактик злоумышленников.
Особенности и эволюция NodeSnake
NodeSnake.B является усовершенствованной версией предшественника и обладает следующими ключевыми характеристиками:
- Возможность выполнения команд в режиме реального времени;
- Динамическая настройка поведения в процессе эксплуатации;
- Модульная полезная нагрузка и расширенные интерактивные функции;
- Повышенная скрытность и сложные методы обфускации.
Это выходит за рамки традиционного сбора данных и вводит новые режимы взаимодействия с заражённой системой.
Методы атаки и технические детали
Вредоносное ПО использует ряд техник, классифицированных в MITRE ATT&CK, среди которых выделяются:
- Использование легитимных учетных записей (T1078) для обхода аутентификации;
- Запуск JavaScript-скриптов для выполнения команд (T1059.007);
- Автоматический запуск при старте системы с помощью записей в реестре (T1547.001);
- Методы обфускации для сокрытия операций (T1027);
- Системная разведка (T1082) и сбор информации о целевых устройствах;
- Экфильтрация данных через протоколы прикладного уровня и каналы командования и контроля (T1071.001, T1041).
Особое внимание злоумышленники уделяют поддержанию постоянного доступа, внедряя случайные записи в реестр и используя прокси-серверы Cloudflare для сокрытия серверов C2.
Связь с группой Interlock и особенности ее операций
Анализ Quorum Cyber выявил прямую связь NodeSnake с группой программ-вымогателей Interlock. Эта группа מוכרת кампаниями двойного вымогательства, направленными на предприятия Северной Америки и Европы. Важной отличительной чертой Interlock является отказ от модели «Ransomware-as-a-Service» (RaaS), что указывает на уникальные операционные стратегии.
Ключевые особенности операций Interlock:
- Использование туннелей Cloudflare для скрытого доступа к критическим сервисам (SSH, RDP, SMB);
- Обход традиционных мер безопасности за счёт простоты и минимальной настройки таких туннелей;
- Фокус на сохранении скрытного и постоянного доступа к инфраструктуре жертв.
Рекомендации по защите от NodeSnake и связанных угроз
Учитывая возрастающую сложность и изощрённость вредоносных программ серии NodeSnake, образовательные учреждения и иные организации должны усилить свои меры защиты. Для минимизации риска рекомендуются следующие контрмеры:
- Внедрение политики нулевого доверия (Zero Trust), ограничивающей доступ и контролирующей поведение пользователей и устройств;
- Регулярное обновление и патчинг программного обеспечения для устранения известных уязвимостей;
- Повышение осведомленности пользователей о методах социальной инженерии и принципах кибербезопасности;
- Использование надежных средств защиты конечных точек с возможностями обнаружения сложных угроз;
- Мониторинг и анализ сетевой активности с целью выявления аномальных подключений и использования прокси.
_NodeSnake_ и связанные с ним угрозы демонстрируют современный этап эволюции кибератак, где комбинируются скрыватели, динамические нагрузки и сложные тактические приемы, что требует от специалистов по безопасности повышенного внимания и комплексного подхода.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
