В последние месяцы две британские университетские сети были заражены удаленным трояном-шпионом (RAT), который, по оценкам экспертов, принадлежит одной и той же угрозе. Аналитики кибербезопасности компании Quorum Cyber идентифицировали эту вредоносную программу как NodeSnake и связывают ее с действиями группы вымогателей Interlock, появившейся в октябре 2024 года. Атака на образовательные учреждения может свидетельствовать о расширении целей киберпреступников, которые все чаще используют легитимные сервисы, такие как Cloudflare Tunnels, для скрытного проникновения в корпоративные сети.
Описание
Методы атаки и последствия
NodeSnake - это троянец, написанный на JavaScript и работающий через Node.js. Он предназначен для сбора информации, удаленного управления зараженными системами и скрытого развертывания дополнительных вредоносных модулей. Основные его возможности включают:
- Продвинутые методы обфускации и уклонения от обнаружения: В первой версии (NodeSnake.A) использовалась простая XOR-шифровка с фиксированным ключом, но в NodeSnake.B злоумышленники внедрили динамическое шифрование с изменяющимся ключом, усложняющее анализ трафика. Кроме того, вредоносный код активно скрывает свое присутствие, переопределяя методы консоли ("console.log") и запуская процессы в фоновом режиме с параметрами "detached: true" и "windowsHide: true".
- Использование Cloudflare Tunnels для взаимодействия с серверами управления: Злоумышленники маскируют C2-коммуникации под легитимный трафик, направляя его через проксируемые домены Cloudflare. Это позволяет обходить традиционные средства защиты, такие как межсетевые экраны, и скрывать реальное местоположение серверов управления.
- Модульная архитектура: NodeSnake поддерживает выполнение нескольких типов полезной нагрузки, включая исполняемые файлы (EXE), библиотеки (DLL), JavaScript-скрипты, а также команды командной строки (CMD). Вторая версия троянца (NodeSnake.B) получила возможность выполнять команды в реальном времени и отправлять их результаты на сервер злоумышленника, что делает его более гибким инструментом для атакующих.
Связь с группой Interlock
Quorum Cyber отмечает, что код NodeSnake имеет сходство с другими вредоносными программами, используемыми группой Interlock. Этот коллектив известен двойными атаками с вымогательством: сначала данные шифруются, а затем преступники угрожают их публикацией, если жертва не заплатит выкуп. Interlock не работает по модели Ransomware-as-a-Service (RaaS) и действует самостоятельно, что делает его менее предсказуемым.
Одним из маркеров их активности является изменение названий файлов с требованием выкупа: от !__README__!.txt до _QUICK_GUIDE_.txt. После шифрования файлы получают расширение ".interlock". Группа активно публикует информацию о своих жертвах на сайте Worldwide Secrets Blog, оказывая на них дополнительное давление.
Заключение
Анализ NodeSnake демонстрирует тенденцию к усложнению киберугроз. Злоумышленники активно используют легитимные сервисы, такие как Cloudflare, для обхода защиты, а модульная архитектура вредоносных программ позволяет им быстро адаптироваться под новые цели. Университеты, обладающие ценными научными данными, становятся привлекательными мишенями, и для противодействия таким атакам требуется комплексный подход к кибербезопасности.
По данным Quorum Cyber, угроза остается актуальной, и дальнейшие атаки Interlock с использованием NodeSnake вероятны. Организациям следует внимательно изучить индикаторы компрометации (IoC) и проверить свои сети на наличие признаков заражения.
Схожие индикаторы
- В апреле текущего кода, индикаторы были обнаружены копание SEKOIA
- В конце 2024, FortiGuard Labs обнаружил подобную активность
- В ноябре 2024, Cisco Talos сообщали об обнаружении Interlock Ransomware
- The DFIR Report, в своем отчете указывали об использовании Interlock RAT доменов trycloudflare.com
Индикаторы компрометации
IPv4
- 140.82.14.117
- 168.119.96.41
- 188.34.195.44
- 212.237.217.182
- 216.245.184.181
- 45.61.136.202
- 45.61.136.228
- 84.200.24.41
Domains
- investigators-boxing-trademark-threatened.trycloudflare.com
- mortgage-i-concrete-origins.trycloudflare.com
- musicians-implied-less-model.trycloudflare.com
- speak-head-somebody-stays.trycloudflare.com
- strain-brighton-focused-kw.trycloudflare.com
- sublime-forecasts-pale-scored.trycloudflare.com
- suffering-arnold-satisfaction-prior.trycloudflare.com
- una-idol-ta-missile.trycloudflare.com
- washing-cartridges-watts-flags.trycloudflare.com
URLs
- http://23.95.182.59/31279geuwtoisgdehbiuowaehsgdb/cht
- http://23.95.182.59/31279geuwtoisgdehbiuowaehsgdb/klg
- https://apple-online.shop/ChromeSetup.exe
- https://rvthereyet.com/wp-admin/images/rsggj.php
MD5
- e11d147dad6e47a1cecb1f2755f95a55
- f76d907ca3817a8b2967790315265469
- f7f679420671b7e18677831d4d276277
SHA1
- 1cb6a93e6d2d86d3479a1ea59f7d5b258f1c5c53
- 5cc81e0df62e0d68710e14b31e2270f2ec7ed166
SHA256
- 28c3c50d115d2b8ffc7ba0a8de9572fbe307907aaae3a486aabd8c0266e9426f
- a26f0a2da63a838161a7d335aaa5e4b314a232acc15dcabdb6f6dbec63cda642
- e86bb8361c436be94b0901e5b39db9b6666134f23cce1e5581421c2981405cb1
- f00a7652ad70ddb6871eeef5ece097e2cf68f3d9a6b7acfbffd33f82558ab50e
- f99fb136427fc8ed344d455eb1cbd7eabc405620ae8b4205d89a8e2e1e712256
