Угрозы кибербезопасности: Вредоносные атаки с использованием NodeJS
Источник: www.trustwave.com
В начале марта 2025 года исследователи из Trustwave SpiderLabs зафиксировали всплеск вредоносных кампаний, основанных на использовании вводящих в заблуждение проверок CAPTCHA. Они принуждают пользователей взаимодействовать с бэкдорами на базе NodeJS, которые затем внедряют сложные трояны для удаленного доступа (RATs). Такой подход сделки с киберугрозами способен наносить серьезный урон системам пользователей и организаций.
Технология и механизмы атаки
Aтака начинается с выполнения вредоносного скрипта NodeJS, который:
- Подключается к инфраструктуре, контролируемой злоумышленником;
- Переходит в пассивное состояние и ожидает дальнейших инструкций;
- Обеспечивает развертывание дополнительных вредоносных компонентов.
Заметным вариантом, зафиксированным в ходе данных кампаний, является NodeJS RAT, который:
- Туннелирует вредоносный трафик с помощью прокси-серверов SOCKS5;
- Использует шифрование на основе XOR для защиты связи.
Пути доступа и методы социальной инженерии
Первоначальный путь доступа для этих атак часто проходит через взломанные веб-сайты. Жертвы перенаправляются по ссылкам в социальных сетях. Анализ внедренного кода показал, что он загружает вредоносный файл JavaScript, связанный с кампанией KongTuke, которая была активна как минимум с сентября 2024 года.
KongTuke претерпел ряд изменений, включая новое соглашение об именовании, состоящее из четырех чередующихся букв и цифр, что упрощает идентификацию по введенному URL-адресу и JavaScript-коду. Этот скрипт собирает различные сведения о системе, такие как:
- Операционная система;
- IP-адрес;
- Тип браузера;
- Строка пользовательского агента;
- Геолокация.
Собранная информация отправляется на сервер управления (C2). Если размер ответа сервера меньше 35 байт, пользователю предлагается перезагрузить страницу; в противном случае отображается поддельная страница с капчей. Поддельная CAPTCHA использует методы социальной инженерии, называемые ClickFix, побуждая пользователей устранять поддельные ошибки или проверять свои действия.
Технические аспекты и возможности RAT
Атака также включает в себя сценарии PowerShell, которые закодированы в Base64 и выполняют следующие функции:
- Вычисляют временную метку UNIX;
- Взаимодействуют с инфраструктурой злоумышленника через скрытое окно PowerShell.
Обходя защитные механизмы, вредоносное ПО загружает 64-разрядный пакет Windows для Node.js, сохраняя его в каталоге %APPDATA%. Ключевые функции бэкдора включают:
- Установку прослушивателя для связи C2;
- Обработку входящих команд;
- Поддержание постоянства при протоколировании действий.
Кроме того, NodeJS RAT может выполнять разведку, собирая информацию о среде Active Directory в случае работы в домене. Каждый 5 минут RAT запрашивает команды у сервера, выполняя такие функции, как:
- Завершение работы при получении команды «ooff»;
- Ведение журнала активности на основе команды «atst».
Команды и ответы, обрабатываемые RAT, используют XOR-расшифровку для безопасной передачи данных. Когда злоумышленник отправляет исполняемый файл, RAT расшифровывает данные и запускает их из каталога %APPDATA%. Расследование также выявило развертывание дополнительных бэкдоров на базе Node.JS, что свидетельствует о сложности и адаптивности вредоносного ПО.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
