AI ワークフロー自動化プラットフォームは、Slackや Google Sheetsなどのアプリケーションを高度な言語モデルとシームレスに接続し、現代のビジネスにおいて急速に不可欠なツールになっています。
しかし、脅威アクターはこれらの信頼された環境をますます悪用しています。Cisco Talosからの最近のインテリジェンスによると、攻撃者は人気のあるワークフロー自動化プラットフォームであるn8nを積極的に悪用して、マルウェアを配信し、ターゲットデバイスをフィンガープリントしています。
n8nプラットフォームは、ユーザーが自動ワークフローを構築することを可能にし、商用クラウドサービスと共にコミュニティライセンスの自社ホスト版を提供しています。
開発者が無料アカウントに登録すると、n8nクラウドネットワーク上のユニークなサブドメインを受け取ります。
Talosの研究者は、サイバー犯罪者がこのアーキテクチャを悪用しており、2025年1月から2026年3月の間にn8nウェブフックURLを含む悪意のあるメールが驚異的な686%増加したことを観察しています。
この悪用の主要なベクトルはURLで露出したウェブフックに依存しています。「リバースAPI」として機能するこれらのウェブフックは、アプリケーションがリアルタイムデータストリームを受け取ることを可能にします。
攻撃者はn8nウェブフックURLをフィッシングメールに埋め込み、プラットフォームの信頼されたドメインを効果的に利用して悪意のあるペイロードの真の出所を隠しています。
Talosが分析した目立ったキャンペーンの1つでは、脅威アクターはn8nウェブフックリンクを共有されたMicrosoft OneDriveフォルダに偽装しました。
被害者がリンクをクリックすると、ブラウザはCAPTCHAチャレンジを提示するウェブページをロードしました。CAPTCHAを解くと、信頼されたn8nドメインから発信されたように見える実行可能ファイルのJavaScriptドリブンダウンロードがトリガーされました。
この特定のペイロードは、修正されたDatto Remote Monitoring and Management(RMM)ツールを密かにインストールして攻撃者が制御するリレーへの永続的な接続を確立する自己解凍アーカイブとして偽装していました。
2番目のキャンペーンは同様のCAPTCHA保護ウェブフックを利用しましたが、悪意を持って修正されたMicrosoft Windows Installerファイルを配信しました。
Armadillo抗分析保護で詰め込まれた、このペイロードはITarian Endpoint Management RMMのバックドア化されたバージョンを展開しました。マルウェアはシステムデータを流出させるためにPythonモジュールを実行しながら、ユーザーを欺くための偽のインストール進捗バーを表示していました。
ペイロード配信を超えて、脅威アクターは密かなデバイスフィンガープリントのためにn8nウェブフックを利用しています。
HTMLメールに見えないトラッキングピクセルを埋め込むことで、攻撃者は被害者のメールクライアントにメッセージが開かれたときにウェブフックURLにHTTP GET リクエストを送信させます。
これは自動的に被害者のIPアドレスをキャプチャし、メールアカウントのアクティビティを確認し、直接の操作を必要としなくてもターゲットテレメトリを収集します。
ワークフロー自動化プラットフォームは本質的に柔軟で高度に相互接続されているため、この悪用に対して防御することは単純な静的分析以上のものを必要とします。
セキュリティチームはドメイン全体をブロックすることに依存することができません。なぜなら、n8nのクラウドインフラストラクチャなどのドメインをブロックリストに登録することは正当なビジネス業務を著しく中断させるためです。
翻訳元: https://cyberpress.org/n8n-webhook-malware-campaign/
