Добавить в корзинуПозвонить
Найти в Дзене
CISOCLUB
11,6 тыс подписчиков

NodeSnake: эволюция сложных RAT-атак на университетские сети

3 мин
В начале 2025 года специалисты по кибербезопасности из команды Quorum Cyber провели глубокий анализ двух версий вредоносных программ удаленного доступа (RAT) — NodeSnake.A и NodeSnake.B. Оба трояна написаны на JavaScript и работают через платформу NodeJS. Их обнаружение в сетях высших учебных заведений Великобритании свидетельствует о целенаправленной атаке на данный сектор, вероятно, инициированной одним и тем же злоумышленником. Первоначальная версия NodeSnake.A стала основой для создания более продвинутой NodeSnake.B, которая получила ряд ключевых улучшений: NodeSnake.B переводит функционал трояна с пассивного сбора данных на интерактивную платформу для дистанционного управления заражённой системой. Полезные нагрузки включают в себя режимы CMD для выполнения команд оболочки и ACTIVE для динамической настройки поведения вредоносного ПО. Одной из ключевых особенностей NodeSnake является использование инфраструктуры Cloudflare для передачи данных через систему command-and-control (C2).
Оглавление

Quorum Cyber выявила новую угрозу в университетских сетях Великобритании: эволюция троянов NodeSnake

В начале 2025 года специалисты по кибербезопасности из команды Quorum Cyber провели глубокий анализ двух версий вредоносных программ удаленного доступа (RAT) — NodeSnake.A и NodeSnake.B. Оба трояна написаны на JavaScript и работают через платформу NodeJS. Их обнаружение в сетях высших учебных заведений Великобритании свидетельствует о целенаправленной атаке на данный сектор, вероятно, инициированной одним и тем же злоумышленником.

Особенности и эволюция NodeSnake

Первоначальная версия NodeSnake.A стала основой для создания более продвинутой NodeSnake.B, которая получила ряд ключевых улучшений:

  • улучшенная скрытность и методы уклонения от обнаружения;
  • модульная архитектура с поддержкой нескольких типов полезной нагрузки;
  • повышенная операционная гибкость и устойчивый постоянный доступ;
  • возможность интерактивного выполнения команд в режиме реального времени;
  • использование случайных имен файлов и запись в реестр для сохранения присутствия.

NodeSnake.B переводит функционал трояна с пассивного сбора данных на интерактивную платформу для дистанционного управления заражённой системой. Полезные нагрузки включают в себя режимы CMD для выполнения команд оболочки и ACTIVE для динамической настройки поведения вредоносного ПО.

Использование легальной инфраструктуры и тактики туннелирования

Одной из ключевых особенностей NodeSnake является использование инфраструктуры Cloudflare для передачи данных через систему command-and-control (C2). Механизмы туннелирования помогают скрытно получать доступ к службам SSH и RDP, что облегчает перемещение по внутренним сетям и усложняет выявление атакующих.

Эта тактика отражает тренд злоумышленников — использовать доверенные сервисы в злонамеренных целях, что значительно усложняет работу служб безопасности.

Связь с группой программ-вымогателей Interlock

Анализ указывает на возможную связь NodeSnake с группой программ-вымогателей Interlock, появившейся в конце 2024 года. Эта группа известна применением стратегии двойного вымогательства, нацеливаясь на крупные организации, включая образовательные учреждения.

  • Interlock публикует имена жертв на странице утечки данных;
  • оставляет сообщения с требованиями выкупа после шифрования данных;
  • операции ведутся как в средах Linux, так и Windows для расширения зоны атаки;
  • сохраняется высокая степень анонимности для затруднения отслеживания.

Рост использования Cloudflare-туннелей в кибератаках

Результаты исследования Quorum Cyber фиксируют тенденцию увеличения числа кампаний, использующих туннели Cloudflare для доставки различных вредоносных программ, таких как Xworm и AsyncRAT. Обычно атаки начинаются с фишинговых рассылок, цель которых — создание туннелей для дальнейшей передачи вредоносного кода.

Технические особенности и перспективы угрозы

NodeSnake обеспечивает передачу данных по протоколам HTTP/HTTPS на заранее определённые серверы C2, зачастую проксируемые через Cloudflare. Использование динамических соединений с произвольными задержками служит для усложнения обнаружения вредоносной активности.

Архитектура трояна позволяет выполнять разные виды полезной нагрузки независимо от родительских процессов, подтверждая применение высокоэффективных стратегий реализации и управления. Непрерывная эволюция от NodeSnake.A к NodeSnake.B демонстрирует тенденцию к увеличению сложности, повышению модульности и совершенствованию методов скрытности.

Заключение

Новые данные подтверждают, что NodeSnake является серьёзной угрозой для образовательных учреждений и, возможно, других секторов. Его функциональные возможности — активное взаимодействие с жертвой, скрытность и устойчивость — делают эту RAT одной из современных платформ для сложных кибератак.

Эксперты Quorum Cyber рекомендуют организациям усилить мониторинг сетевого трафика, уделить внимание анализу активности служб Cloudflare и внедрять многоуровневую защиту для своевременного обнаружения похожих угроз.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "NodeSnake: эволюция сложных RAT-атак на университетские сети".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.