Novo implante RoadK1ll usa WebSocket para pivotar em redes comprometidas
Implante RoadK1ll em Node.js usa túnel WebSocket de saída para pivotar em redes comprometidas e ampliar movimentação lateral sem listener inbound.
Pesquisadores da Blackpoint identificaram o RoadK1ll, um implante em Node.js que cria um túnel reverso via WebSocket para transformar um host comprometido em ponto de relay dentro da rede.
Ao usar uma conexão de saída com infraestrutura do atacante, o malware dispensa listener inbound e permite pivotar para sistemas internos, serviços de gestão e segmentos normalmente inacessíveis externamente.
O design suporta múltiplas conexões simultâneas no mesmo túnel, ampliando a movimentação lateral e reduzindo a chance de detecção.
O que fazer: monitore tráfego WebSocket incomum, restrinja egress, valide processos Node.js inesperados e reforce segmentação e alertas para conexões internas iniciadas por hosts de usuário.
Fonte: https://www.bleepingcomputer.com/news/security/new-roadk1ll-websocket-implant-used-to-pivot-on-breached-networks/
