Wprowadzenie do problemu / definicja
Platformy automatyzacji workflow coraz częściej odgrywają podwójną rolę w cyberbezpieczeństwie. Z jednej strony wspierają integrację usług, orkiestrację procesów i automatyzację działań operacyjnych, z drugiej stają się atrakcyjnym narzędziem dla cyberprzestępców. Jednym z najnowszych przykładów jest n8n, czyli popularna platforma low-code, która została wykorzystana do prowadzenia kampanii phishingowych, dostarczania złośliwego systemu oraz zbierania danych o ofiarach.
Problem polega na nadużywaniu legalnej i zaufanej infrastruktury. Dzięki temu atakujący mogą ukrywać prawdziwe źródło działań, zwiększać skuteczność kampanii i utrudniać wykrycie incydentu przez systemy bezpieczeństwa oparte na reputacji domen lub prostych regułach filtrowania.
W skrócie
- Atakujący wykorzystują webhooki n8n do obsługi złośliwych scenariuszy po kliknięciu linku w wiadomości e-mail.
- Ofiary trafiają na dynamicznie generowane strony phishingowe, często wzbogacone o CAPTCHA i fałszywe elementy pobierania.
- W analizowanych kampaniach pobierane były pliki EXE lub MSI instalujące zmodyfikowane narzędzia RMM działające jako backdoor.
- Webhooki służyły również do śledzenia otwarć wiadomości i fingerprintingu urządzeń.
- Największym wyzwaniem dla obrońców jest to, iż atak korzysta z legalnej platformy, przez co trudniej odróżnić złośliwą aktywność od prawidłowego ruchu biznesowego.
Kontekst / historia
n8n to platforma służąca do budowy zautomatyzowanych przepływów pracy pomiędzy aplikacjami i usługami wykorzystującymi API oraz HTTP. Narzędzia tej klasy zyskały dużą popularność wraz z rozwojem środowisk SaaS, integracji chmurowych oraz automatyzacji procesów opartych na danych. Ich przewagą jest szybkość wdrożenia, elastyczność i niski próg wejścia dla użytkowników, którzy nie chcą budować wszystkiego od podstaw.
Z perspektywy zagrożeń nie jest to nowy schemat. Napastnicy od lat wykorzystują zaufane usługi chmurowe, platformy produktywności i narzędzia administracyjne do ukrywania infrastruktury ataku. W przypadku n8n szczególnie cennym elementem okazały się webhooki, czyli publicznie dostępne adresy URL, które po odebraniu żądania HTTP uruchamiają przygotowany wcześniej workflow.
Obserwacje badaczy wskazują, iż aktywność związana z nadużywaniem n8n była widoczna przez wiele miesięcy, a skala kampanii rosła. To pokazuje, iż platformy automatyzacji stały się realnym elementem współczesnego krajobrazu zagrożeń, a nie jedynie teoretycznym wektorem nadużyć.
Analiza techniczna
Głównym mechanizmem nadużycia są webhooki dostępne publicznie. Po kliknięciu linku osadzonego w wiadomości e-mail ofiara nie trafia od razu na jawnie złośliwy serwer, ale na treść wygenerowaną przez workflow działający w obrębie legalnej usługi. To istotnie zwiększa wiarygodność takiego scenariusza i może ograniczać skuteczność części zabezpieczeń.
W analizowanych przypadkach e-mail podszywał się pod powiadomienie o współdzielonym zasobie OneDrive. Po kliknięciu użytkownik widział stronę z CAPTCHA, co miało kilka zalet z punktu widzenia atakującego. Taki etap pomaga ograniczyć analizę przez automatyczne systemy, odsiać skanery bezpieczeństwa oraz wzbudzić większe zaufanie ofiary. Dopiero po interakcji wyświetlany był przycisk pobrania i pasek postępu, a adekwatny ładunek pobierano z zewnętrznego hosta dzięki kodu JavaScript osadzonego w stronie dostarczonej przez webhook.
W jednym z wariantów dostarczany był plik wykonywalny sugerujący dokument powiązany z OneDrive. Po uruchomieniu instalował zmodyfikowaną wersję Datto RMM i wykonywał łańcuch poleceń PowerShell odpowiedzialnych za rozpakowanie komponentów, konfigurację zadania harmonogramu, uruchomienie narzędzia oraz utrwalenie obecności w systemie. Część śladów była następnie usuwana, co utrudniało analizę powłamaniową.
W innym scenariuszu użytkownik pobierał zmodyfikowany instalator MSI chroniony mechanizmami utrudniającymi analizę. Po uruchomieniu przez msiexec instalowany był zmodyfikowany komponent ITarian Endpoint Management RMM, wykorzystywany jako backdoor. Równolegle aktywowane były moduły służące do eksfiltracji danych. Aby zamaskować rzeczywisty przebieg zdarzenia, ofierze prezentowano fałszywy interfejs instalatora z paskiem postępu sprawiającym wrażenie nieudanego procesu.
Osobnym elementem kampanii był fingerprinting urządzeń. Atakujący osadzali w wiadomościach ukryte obrazy pełniące rolę tracking pixeli, których źródłem były webhooki n8n. Samo otwarcie wiadomości mogło spowodować wysłanie żądania HTTP, co pozwalało potwierdzić aktywność skrzynki, powiązać zdarzenie z odbiorcą i przygotować kolejne etapy kampanii pod konkretną ofiarę.
Konsekwencje / ryzyko
Najważniejsze ryzyko wynika z omijania klasycznych mechanizmów ochronnych. jeżeli użytkownik najpierw komunikuje się z legalną platformą, a dopiero potem skrypt pobiera adekwatny ładunek z innej lokalizacji, detekcja oparta wyłącznie na reputacji domen i analizie statycznych adresów URL może okazać się niewystarczająca.
Drugim istotnym zagrożeniem jest wykorzystanie legalnych narzędzi RMM jako backdoorów. Takie oprogramowanie bywa dopuszczone w środowiskach firmowych, dlatego jego obecność nie zawsze wzbudza natychmiastowe podejrzenia. W praktyce daje to napastnikom trwały zdalny dostęp, możliwość wykonywania poleceń, utrzymywania persystencji oraz prowadzenia eksfiltracji danych pod pozorem standardowych działań administracyjnych.
Nie mniej ważne jest ryzyko związane z rozpoznaniem celów. Tracking pixele i webhooki umożliwiają potwierdzanie otwarcia wiadomości, profilowanie użytkowników oraz ocenę, które urządzenia i konta są warte dalszego rozwinięcia ataku. To przekłada się na wyższą skuteczność spear phishingu i lepsze dopasowanie dalszych etapów operacji.
Dla zespołów SOC oraz IR dodatkowym problemem pozostaje analiza incydentu w środowisku, gdzie ruch do platform automatyzacji może być normalnym elementem działalności biznesowej. Odróżnienie legalnych workflow od nadużyć wymaga więc głębszej analizy behawioralnej i lepszego kontekstu operacyjnego.
Rekomendacje
Organizacje powinny rozszerzyć monitorowanie poczty elektronicznej oraz ruchu HTTP o detekcję zachowań związanych z platformami automatyzacji workflow. Samo blokowanie całych domen usług chmurowych zwykle nie jest praktyczne, dlatego większy sens ma wykrywanie anomalii i korelowanie zdarzeń.
- Analizować wiadomości podszywające się pod usługi współdzielenia dokumentów, zwłaszcza jeżeli prowadzą do dynamicznych workflow.
- Izolować lub blokować pobrania plików EXE i MSI inicjowane po kliknięciu linku z e-maila.
- Monitorować uruchomienia PowerShell, msiexec oraz tworzenie nowych zadań harmonogramu.
- Nadzorować instalacje narzędzi RMM, które nie znajdują się na liście zatwierdzonego oprogramowania.
- Wdrożyć allowlistę dla narzędzi zdalnego zarządzania oraz mapowanie autoryzowanych tenantów, subdomen i workflow.
- Generować alerty dla połączeń do usług automatyzacji i RMM, z których organizacja nie korzysta.
- Prowadzić szkolenia uświadamiające, iż CAPTCHA i pasek postępu nie potwierdzają wiarygodności procesu pobierania.
W praktyce szczególnie podejrzane powinny być scenariusze, w których wiadomość o rzekomo współdzielonym dokumencie kończy się pobraniem pliku wykonywalnego, a nie otwarciem pliku w przeglądarce lub aplikacji biurowej.
Podsumowanie
Nadużycia platformy n8n pokazują, iż legalne narzędzia automatyzacji stają się wygodnym elementem infrastruktury ataków phishingowych i malware delivery. Połączenie webhooków, dynamicznego JavaScriptu, CAPTCHA oraz zmodyfikowanych narzędzi RMM tworzy łańcuch ataku, który skutecznie zaciera granicę między ruchem legalnym a złośliwym.
Dla zespołów bezpieczeństwa to wyraźny sygnał, iż tradycyjne podejście oparte głównie na reputacji domen i statycznych wskaźnikach kompromitacji przestaje wystarczać. Coraz większe znaczenie ma analiza zachowań, kontekstu biznesowego oraz ścisły nadzór nad wykorzystaniem usług chmurowych i narzędzi administracyjnych.
Źródła
- https://securityaffairs.com/190887/hacking/ai-platform-n8n-abused-for-stealthy-phishing-and-malware-delivery.html
- https://blog.talosintelligence.com/the-n8n-n8mare/
- https://docs.n8n.io/integrations/builtin/core-nodes/n8n-nodes-base.webhook/
