СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Продукты Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
27 апреля
#ИБ

TryNodeUpdate: Windows-вредонос с C2 через GitHub и BSC

TryNodeUpdate — это цепочка ВПО для Windows, которая выделяется необычной архитектурой командования и управления. По данным отчета, она комбинирует GitHub как исходную точку для загрузки контроллера и Binance Smart Chain (BSC) как внешний механизм для получения данных, необходимых для дальнейшей коммуникации.

Исследователи отмечают, что такой подход позволяет злоумышленникам уходить от традиционных схем хранения конфигурации и усложняет обнаружение активности. Вместо заранее встроенного server-side компонента используется распределенная цепочка действий, завязанная на публичные ресурсы.

Как работает цепочка заражения

Первоначальный этап атаки начинается со сценария PowerShell, который устанавливает scheduled task и извлекает Node.js controller из общедоступного GitHub-репозитория. На этом же шаге контроллеру передается contract address, после чего он обращается к BSC RPC, чтобы разрешить TCP endpoint для последующей связи.

Ключевая особенность TryNodeUpdate заключается в том, что серверный компонент не задан напрямую ни в PowerShell, ни в самом Node.js controller. Вместо этого контроллер читает переменную TUNNEL_URL из ответа contract, удаляет префикс TCP:// и устанавливает соединение с разрешенным host на port 8446.

Нетипичная модель command and control

Операционная модель TryNodeUpdate заметно отличается от ряда предыдущих ВПО, использующих blockchain-based C2. В отчетах подчеркивается, что архитектура напоминает более ранние framework’и, применявшиеся в OCRFix и HellsUchecker, однако тактика реализации у TryNodeUpdate иная.

Если прежние попытки нередко опирались на хранение URL-адресов или на зашифрованные конфигурации, то в данном случае используются сразу несколько внешних точек:

  • GitHub — для первоначальной загрузки controller;
  • public BSC — для поиска contract;
  • raw TCP connection — для активного управления.

Дополнительные компоненты и привилегии

В составе ВПО фигурируют различные scripts и executables, включая VBS launcher и JS payload, а также конфигурации, связанные с идентификацией клиента и управлением состоянием.

Для узлов с повышенными привилегиями TryNodeUpdate дополнительно вызывает native helper executable под названием rpc.exe. Этот компонент выступает в роли reconnecting client и выполняет contract resolution, а также передачу данных задачи.

«TryNodeUpdate использует внешние ресурсы не как вспомогательный элемент, а как основу своей операционной модели», — следует из анализа.

GitHub-репозиторий и следы активности

В качестве исходного источника контроллера узла используется репозиторий 1CodeDev-hub/electronAI. По данным отчета, он является относительно новым, а история изменений указывает на активную разработку и адаптацию вплоть до 2026 года.

Такой профиль репозитория может указывать на то, что инфраструктура регулярно обновляется и подстраивается под текущие условия, что усложняет реагирование и анализ.

Сетевые признаки и инфраструктура

Технический разбор показал, что TryNodeUpdate использует DNS-запросы и TCP SYN packets, направленные на несколько IP-адресов, связанных с SNI responses. Отдельно был выделен IP-адрес 206.206.127.94, который, по данным исследования, предоставлял набор services и доступ к различным PHP-based interfaces.

При этом отмечается важная деталь: такие интерфейсы могут выступать лишь как потенциальные опорные точки. Единственным каналом, который характеризуется как active channel ВПО, остается надежное соединение по raw TCP на port 8446.

Роль BlockRazor

В рамках своей операционной целостности TryNodeUpdate полагается на сервис bsc.blockrazor.xyz как на public dependency BSC RPC для выполнения read operations по contract. Однако в отчете нет доказательств того, что сам BlockRazor вовлечен в работу server-side части ВПО.

Иными словами, инфраструктурный ресурс используется как внешний опорный элемент, но не как подтвержденный участник вредоносной операции.

Вывод

TryNodeUpdate демонстрирует изощренный способ использования внешних сервисов: сочетание GitHub, BSC и raw TCP позволяет злоумышленникам строить гибкую схему управления и одновременно снижать вероятность обнаружения. Для специалистов по кибербезопасности это еще один пример того, как современные ВПО все чаще опираются на легитимные публичные ресурсы, маскируя коммуникации под обычную сетевую активность.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз (бренд RST Cloud Russia) – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: