Работает даже при белом списке
Image

MAX. SecurityLab. Белый список. Ваш сисадмин ничего не запретит — и это его будет бесить

Мы пишем про взломы, утечки и катастрофы — и делаем это лучше всех. Скромно, но это правда. Проверьте сами, вам несложно.

Тихий взлом и полная невидимость. Рассказываем, как новый вирус RoadK1ll захватывает корпоративные сети

10261
RoadK1ll Blackpoint WebSocket Node.js вредоносный код кибератака сеть
Тихий взлом и полная невидимость. Рассказываем, как новый вирус RoadK1ll захватывает корпоративные сети
RoadK1ll Blackpoint WebSocket Node.js вредоносный код кибератака сеть

Знакомые инструменты администрирования превратились в опасное оружие.

image

Незаметное присутствие внутри сети остаётся главным козырем злоумышленников, и новая находка специалистов Blackpoint показывает, насколько изощрёнными становятся такие инструменты. Вредоносный модуль под названием RoadK1ll помогает атакующим не просто закрепиться в системе, а тихо расширять доступ к другим узлам, оставаясь практически невидимым.

RoadK1ll обнаружили во время реагирования на инцидент. Модуль написан на Node.js и использует собственный протокол WebSocket для связи с инфраструктурой атакующих. Такой подход позволяет поддерживать постоянный канал управления и одновременно маскироваться под обычный сетевой трафик.

Главная задача RoadK1ll — превратить заражённый компьютер в промежуточную точку. Через такой узел оператор получает возможность выходить на внутренние сервисы, сегменты сети и системы, которые из внешней среды недоступны. При этом вредоносный код не открывает входящие соединения. Вместо этого он сам устанавливает исходящее WebSocket-соединение, через которое затем проксируется TCP-трафик по запросу.

Подобная схема даёт атакующему серьёзное преимущество. Соединения инициируются от имени уже доверенного устройства внутри сети, поэтому обходят защиту периметра и не вызывают подозрений. Через один канал можно одновременно работать с несколькими внутренними ресурсами, что ускоряет развитие атаки.

Функциональность RoadK1ll остаётся минималистичной, но достаточной для скрытого управления. Модуль умеет открывать соединения к заданным адресам, передавать данные, подтверждать успешное подключение, закрывать сессии и сообщать об ошибках. Ключевая команда запускает соединение с соседними системами, расширяя зону доступа злоумышленника.

Если соединение обрывается, вредоносный код пытается автоматически восстановить туннель. Такой механизм позволяет сохранять контроль без лишнего шума и повторных действий со стороны оператора.

При этом у RoadK1ll нет классических механизмов закрепления через реестр или планировщик задач. Модуль работает, пока активен соответствующий процесс. Несмотря на это, разработка выглядит современной и узкоспециализированной — инструмент легко разворачивается, гибко настраивается и эффективно скрывает активность внутри сети.

Blackpoint также опубликовала индикаторы компрометации, включая хэш файла и IP-адрес, используемый для связи с управляющей инфраструктурой. Эти данные помогут быстрее выявлять подобные угрозы в корпоративных средах.