29/05/25
Специалисты QuorumCyber зафиксировали минимум две атаки, при этом за короткое время им удалось выявить существенные отличия между образцами вредоносной программы — это свидетельствует о том, что создатели NodeSnake активно дорабатывают и расширяют его функционал.
Группа Interlock, появившаяся в сентябре 2024 года, уже известна атаками на Texas Tech University, медицинский холдинг DaVita и сеть Kettering Health в Огайо, напоминает Securitylab. Помимо образовательных и здравоохранительных учреждений, злоумышленники атаковали компании из разных сфер, а для проникновения в инфраструктуру применяли схему « ClickFix » — подделывали IT-инструменты, маскируя вредоносный функционал под легитимные средства администрирования.
В последних атаках на университеты преступники сделали ставку на фишинговые рассылки. В письмах находились ссылки или вложения, которые приводили к загрузке NodeSnake — вредоносного ПО на JavaScript, запускаемого через NodeJS. Для закрепления в системе троян использует PowerShell или CMD, чтобы создать в реестре обманчивую запись под названием «ChromeUpdater» — это позволяет ему скрываться под видом обновления Google Chrome.
NodeSnake работает как отдельный фоновый процесс, меняет имена файлов и нагрузок на случайные, а адреса серверов управления (C2) подбирает с разными задержками, чтобы запутать анализаторов. Для сокрытия сетевой активности используется маршрутизация через домены Cloudflare, а в коде применяются массивная обфускация, шифрование XOR с динамическим ключом и подмена вывода консоли — так анализировать программу становится сложнее.
После заражения система собирает метаданные о пользователе, списки процессов и сервисов, а также параметры сети, отправляя всю информацию на управляющий сервер. Троян может завершать выбранные процессы, догружать дополнительные EXE, DLL или JavaScript-модули, а в новой версии — выполнять произвольные команды CMD. Для динамики поведения узлов управления добавлены отдельные модули, меняющие частоту запросов. Все результаты команд включаются в пакеты с высылаемыми данными, что обеспечивает полноценное управление через удалённую консоль.
Постоянное развитие NodeSnake говорит о стремлении Interlock закрепиться в инфраструктуре жертвы на максимально долгий срок, сохраняя незаметность и гибкость перед дальнейшими этапами вымогательства и шифрования файлов. Специалисты подчёркивают, что отслеживание индикаторов компрометации может предотвратить проникновение вредоносного ПО до наступления фазы утечки данных и запуска шифровальщика.
