Trustwave 揭露隐蔽的 NodeJS 后门攻击活动

admin 2025年5月5日23:00:20评论5 views字数 1187阅读3分57秒阅读模式
Trustwave SpiderLabs 安全团队发现了一种新型网络威胁,攻击者利用虚假的 CAPTCHA 验证机制传播基于 NodeJS 的隐蔽后门程序。该攻击活动展示了威胁行为者如何通过社会工程学手段绕过传统安全防护措施,其技术复杂程度正不断提升。
Trustwave 研究人员指出:"这些攻击活动诱骗用户执行基于 NodeJS 的后门程序,随后部署复杂的 NodeJS 远程访问木马(RAT)。"

Trustwave 揭露隐蔽的 NodeJS 后门攻击活动

01

攻击链分析

攻击始于用户通过社交媒体诱饵或被污染的搜索结果访问遭入侵的网站。这些网站被注入了属于 KongTuke 攻击活动的恶意 JavaScript 代码(该活动至少自 2024 年 9 月起活跃)。恶意脚本会收集系统信息,并将用户重定向至虚假的 CAPTCHA 页面——这是掩盖恶意意图的幌子。
当用户与验证码交互时,PowerShell 命令会被静默复制到剪贴板,进而执行第二阶段的有效载荷。该载荷会投放一个 NodeJS RAT——这是一种功能强大且模块化的后门程序,专为实现持久化驻留、数据窃取和远程命令执行而设计。
Trustwave 揭露隐蔽的 NodeJS 后门攻击活动

02

后门技术特性

该 NodeJS 后门展现出多项高级功能:
  • 反虚拟机检测:规避沙箱环境中的安全检测
  • 加密C2通信:采用XOR加密与gzip压缩相结合的传输方式
  • 持久化机制:通过Windows注册表伪装成浏览器更新程序
  • 隐蔽通信:利用SOCKS5代理隧道转发恶意流量
SpiderLabs 强调:"我们的研究发现,攻击者部署了更高级的 NodeJS RAT 变种,能够通过 SOCKS5 代理隧道传输恶意流量,并采用基于 XOR 的加密方法进一步增强通信安全性。"

03

命令与控制机制

后门程序部署后,会每五分钟轮询一次命令控制(C2)服务器,监听以下类型的攻击指令:

  • 任意系统命令执行

  • 投放各类有效载荷(EXE、DLL、JS、CMD文件)

  • 详尽的系统侦察(操作系统信息、ARP缓存、域成员信息)

  • 交互式与一次性命令终端

  • 通过Active Directory侦察实现横向移动

SpiderLabs 解释称:"该NodeJS RAT会建立SOCKS5代理隧道,使攻击者能够中转其流量...同时接收攻击者的后续利用指令。"

04

攻击基础设施特点

调查中发现一个突出特点:攻击者利用 TryCloudflare 服务托管第二阶段有效载荷。这种技术滥用 Cloudflare 合法的隧道服务来规避检测,延长威胁行为者的访问权限。
KongTuke攻击活动(也被称为404TDS、Chaya_002和TAG-124)似乎是一个更庞大的恶意软件基础设施运营体系,其借助虚假验证码诱饵的高效性而日益猖獗。该活动还与Mispadu银行木马、Lumma窃密程序等其他恶意软件存在关联。Trustwave警告称,由于"虚假验证码技术的高成功率",此类攻击的影响范围和危害程度可能会持续扩大。
Trustwave 揭露隐蔽的 NodeJS 后门攻击活动

Trustwave 揭露隐蔽的 NodeJS 后门攻击活动

Trustwave 揭露隐蔽的 NodeJS 后门攻击活动

Trustwave 揭露隐蔽的 NodeJS 后门攻击活动
Trustwave 揭露隐蔽的 NodeJS 后门攻击活动

Trustwave 揭露隐蔽的 NodeJS 后门攻击活动

Trustwave 揭露隐蔽的 NodeJS 后门攻击活动

Trustwave 揭露隐蔽的 NodeJS 后门攻击活动

原文始发于微信公众号(FreeBuf):Trustwave 揭露隐蔽的 NodeJS 后门攻击活动

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年5月5日23:00:20
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   Trustwave 揭露隐蔽的 NodeJS 后门攻击活动https://cn-sec.com/archives/4030644.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息