サイバー犯罪者は、新しい Node.js に基づくインプラントである RoadK1ll を展開し、攻撃者が内部ネットワークの深部へと静かに侵入するためのネットワークリレーを設定しています。このマルウェアは、初期の侵害後も信頼性のある柔軟なアクセスを提供するために設計されており、単一の感染ホストを「アクセス増幅器」として機能させる役割を果たします。

RoadK1ll マルウェアとは

RoadK1ll は Node.js で実装され、net モジュールと ws モジュールを使用しています。これらのモジュールは、WebSocket C2 セッションとローカル TCP 接続を仲介する役割を果たします。

通信プロトコル

RoadK1ll は独自のフレーミングプロトコルを使用し、複数の論理チャネルを単一の WebSocket 接続上でマルチプレキシングします。メッセージにはチャンネル ID（4 バイト）、メッセージタイプ（1 バイト）が含まれており、ペイロードはそれらの後に続きます。

機能

• データ転送: RoadK1ll は任意のバイナリデータを運搬するように設計されており、テキストコマンドだけでなくネットワークトラフィックもサポートします。
• 接続管理: チャンネル ID を使用してアクティブなソケットを追跡し、それぞれのチャネルに対して独立した TCP ストリームを維持します。

Pivoting と Lateral Movement

RoadK1ll は内部データベースや管理インターフェースなどにアクセスするためのリレーメカニズムを提供します。これにより、攻撃者は複数の目的地に対して同時に接続を確立することができます。

インジケーターズ・オブ・コムプロイズ (IOC)

元記事: https://gbhackers.com/roadk1ll-malware/