Нов RoadK1ll WebSocket имплант се користи за движење во компромитирани мрежи

Објавено: 31.03.2026

Новoидентификуван малициозен имплант наречен RoadK1ll им овозможува на напаѓачите тивко да се движат од компромитиран систем кон други уреди во мрежата.

Малициозниот софтвер е Node.js имплант кој комуницира преку сопствен WebSocket протокол за да одржи долготраен пристап и да овозможи понатамошни активности на напаѓачот.

RoadK1ll е откриен од MDR (managed detection and response) провајдерот Blackpoint за време на incident response ангажман. Истражувачите го опишуваат како лесен имплант за reverse тунелирање кој се вклопува во нормалниот мрежен сообраќај и ја претвора заразената машина во релејна точка за напаѓачот.

„Неговата единствена функција е да претвори една компромитирана машина во контролирана релејна точка – засилувач на пристапот – преку која операторот може да се префрли (pivot) кон внатрешни системи, сервиси и мрежни сегменти кои инаку не би биле достапни однадвор,“ велат од Blackpoint.

RoadK1ll не користи inbound listener на компромитираниот систем. Наместо тоа, воспоставува outbound WebSocket конекција кон инфраструктура контролирана од напаѓачот, која потоа се користи како тунел за пренос на TCP сообраќај по потреба.

Овој пристап му овозможува на напаѓачот да остане недетектиран подолго време и да пренасочува сообраќај кон внатрешни системи преку еден WebSocket тунел.

„Напаѓачот може да му нареди на RoadK1ll да отвора конекции кон внатрешни сервиси, менаџмент интерфејси или други хостови кои не се директно изложени на интернет,“ додава Blackpoint.
„Бидејќи овие конекции потекнуваат од компромитираната машина, тие го наследуваат нејзиниот доверлив статус и позиција во мрежата, со што ефективно ги заобиколуваат периметарските безбедносни контроли.“

Дополнително, RoadK1ll поддржува повеќе истовремени конекции преку истиот тунел, овозможувајќи му на операторот паралелна комуникација со повеќе цели.

Според истражувачите, малициозниот софтвер поддржува мал сет на команди, меѓу кои:

CONNECT – му наредува на имплантот да отвори TCP конекција кон одреден хост и порт
DATA – препраќа суров сообраќај преку активна конекција
CONNECTED – потврдува дека конекцијата е успешно воспоставена
CLOSE – ја затвора активната конекција
ERROR – враќа информации за грешка до операторот

Командата CONNECT ја активира главната функција на RoadK1ll: иницирање outbound TCP конекција кон соседна цел, со што се проширува достапноста на напаѓачот во компромитираната мрежа.

Преминување (pivoting) кон достапни системи

Доколку каналот се прекине, алатката се обидува повторно да го воспостави WebSocket тунелот преку механизам за реконекција, овозможувајќи им на напаѓачите да одржат постојан пристап без да создаваат дополнителен „шум“ преку рачна интервенција.

Механизам за повторно поврзување

Сепак, Blackpoint забележува дека RoadK1ll нема традиционален механизам за перзистенција кој користи registry клучеви, закажани задачи или сервиси. Наместо тоа, работи само додека неговиот процес е активен.

И покрај ова, истражувачите велат дека малициозниот софтвер „претставува помодерна и наменски изработена имплементација“ на скриена комуникација, што го прави флексибилен, ефикасен и лесен за имплементација.

Исто така, му овозможува на напаѓачот да се движи кон внатрешни системи и сегменти од околината кои не се достапни од надвор од мрежата.

Blackpoint обезбедува мал сет на индикатори за компромитација (IoC) базирани на хост, кои вклучуваат hash вредност за RoadK1ll и IP адреса што ја користи напаѓачот за комуникација со имплантот.

Извори:

Bleeping Computer – New RoadK1ll WebSocket implant used to pivot on breached networks Bleeping Computer