威胁行为者武器化n8n工作流平台进行网络钓鱼和载荷投递

执行摘要

威胁行为者自2025年10月以来一直在积极地将合法的n8n工作流自动化平台武器化，以进行网络钓鱼活动和交付恶意软件。通过滥用n8n的Webhook和电子邮件自动化功能，攻击者从平台自身的受信任基础设施发送恶意电子邮件，有效地绕过了依赖于发件人声誉的传统电子邮件安全过滤器。这种技术代表了网络钓鱼行动的重大演变，将一个广泛使用的生产力和AI集成工具变成了一个强大的攻击向量。

技术分析

攻击链始于威胁行为者破坏n8n实例，无论是通过部署他们自己的实例，还是可能利用配置不当或易受攻击的公共实例。据The Hacker News报道，攻击者配置了由传入Webhook触发的n8n工作流。这些工作流旨在发送包含网络钓鱼诱饵或链接到恶意有效载荷的自动电子邮件。电子邮件源自n8n的基础设施，通常具有较高的发件人声誉评分，使它们能够绕过垃圾邮件过滤器和基于域的消息认证、报告和一致性（DMARC）检查。

一旦收件人与电子邮件互动——无论是点击链接还是打开附件——工作流可以执行后续操作。这些操作包括直接交付恶意软件或将受害者重定向到收集凭证的页面。n8n平台还可以用来通过收集通过Webhook发送的HTTP请求头和其他遥测数据来指纹访问设备，为攻击者提供侦察数据。通过这种方法交付的具体恶意软件家族在可用来源中尚未详细说明。

入侵指标

目前没有识别出任何入侵指标。报告没有提供与此活动相关的特定恶意域、IP地址或文件哈希值。防御者应监控来自*.n8n.cloud或其他与n8n相关的意外或包含可疑链接/附件的域的电子邮件。

战术、技术与程序

观察到的主要技术是滥用合法云服务和软件即服务（SaaS）平台进行攻击性操作（T1584.006）。这属于更广泛的资源开发战术。具体来说，攻击者正在：

• 使用受信任的基础设施（n8n的电子邮件服务器）发送网络钓鱼电子邮件，绕过基于声誉的过滤。
• 通过配置的工作流自动化鱼叉式网络钓鱼载荷交付（T1566）。
• 可能利用面向公众的应用程序（T1190），如果他们破坏了未受保护的n8n实例，尽管攻击者自己的n8n设置的初始访问向量尚未得到确认。
• 通过Webhook触发的指纹识别工作流收集受害者主机信息（T1592）。

威胁行为者背景

源材料没有将此活动归因于已知的威胁行为者群体。操作模式表明，这些行为者可能是出于财务动机的行为者或寻求在目标网络中建立立足点的初始访问经纪人。使用合法自动化工具表明了中等水平的复杂性，专注于操作安全（OpSec）和效率，而不是新颖的恶意软件开发。

缓解措施与建议

组织应实施深度防御策略以应对这一威胁：

1. **电子邮件安全：**通过内容分析、URL检查和附件沙箱增强传统的基于声誉的过滤。培训用户对意外的电子邮件保持怀疑，即使是来自已知SaaS平台的电子邮件。
2. **网络监控：**监控从企业端点到n8n云基础设施（n8n.cloud）的出站连接，因为这可能表明内部n8n实例受到破坏，或者用户与恶意工作流互动。
3. **n8n实例加固：**对于使用n8n的组织，请确保实例在没有认证的情况下不会公开暴露。实施严格的访问控制，审计工作流日志以查找可疑活动，并在不需要时禁用不必要的电子邮件发送功能。
4. **端点保护：**部署能够检测后期开发活动和载荷执行的强大端点检测和响应（EDR）解决方案，无论最初的交付向量如何。