Оферта за отстъпка за множество лицензи
База данни за заплахи Инструменти за отдалечено администриране Зловреден софтуер EtherRAT

Зловреден софтуер EtherRAT

До Mezo през Инструменти за отдалечено администриране, Усъвършенствана постоянна заплаха (APT)г
Превод на:

Смята се, че наскоро разкрита кампания от заплахи, свързана със севернокорейски оператори, използва критичната уязвимост React2Shell (RSC), за да внедри невиждан досега троянски кон за отдалечен достъп, известен като EtherRAT. Този зловреден софтуер се откроява с включването на интелигентни договори на Ethereum в работния си процес Command-and-Control (C2), инсталирането на множество слоеве за персистиране в Linux и обединяването на собствена среда за изпълнение на Node.js по време на внедряването.

Връзки към текущите операции „Заразно интервю“

Екипите по сигурността са идентифицирали силни прилики между активността на EtherRAT и дългогодишната кампания, известна като Contagious Interview, серия от атаки, активни от началото на 2025 г. и използващи техниката EtherHiding за доставяне на зловреден софтуер.

Тези операции обикновено са насочени към разработчици на блокчейн и Web3, като маскират злонамерени намерения зад изфабрикувани интервюта за работа, тестове за кодиране и видео оценки. Жертвите обикновено се свързват чрез платформи като LinkedIn, Upwork и Fiverr, където нападателите се представят за легитимни работодатели, предлагащи висококачествени възможности за работа.

Изследователите отбелязват, че този клъстер от заплахи се е превърнал в една от най-продуктивните злонамерени сили в екосистемата на npm, демонстрирайки уменията си за проникване в базирани на JavaScript вериги за доставки и крипто-фокусирани работни процеси.

Първоначалният пробив: Експлоатация на React2Shell

Последователността на атаката започва с експлоатацията на CVE‑2025‑55182, критична RSC уязвимост с перфектен резултат от 10. Използвайки тази уязвимост, нападателите изпълняват Base64-кодирана команда, която изтегля и задейства shell скрипт, отговорен за инициирането на основния JavaScript имплант.

Скриптът се извлича чрез curl, като wget и python3 действат като резервни методи. Преди да стартира основния полезен товар, той подготвя системата, като извлича Node.js v20.10.0 директно от nodejs.org, след което записва както криптиран блоб с данни, така и скрит JavaScript дропер на диск. За да ограничи криминалистичните следи, скриптът почиства след себе си, след като настройката е завършена, и предава контрола на дропера.

Доставка на EtherRAT: Криптиране, изпълнение и интелигентен договор C2

Основната функция на дроппера е проста: декриптиране на полезния товар EtherRAT с помощта на твърдо кодиран ключ и стартирането му с новоизтегления двоичен файл Node.js.

Отличителната черта на EtherRAT е зависимостта му от EtherHiding, метод, който извлича адреса на C2 сървъра от интелигентен договор на Ethereum на всеки пет минути. Това позволява на операторите да актуализират инфраструктурата в движение, дори ако защитниците нарушават съществуващите домейни.

Уникален обрат в тази имплементация е нейната система за гласуване, базирана на консенсус. EtherRAT запитва едновременно девет публични RPC крайни точки на Ethereum, събира резултатите и се доверява на C2 URL адреса, върнат от мнозинството. Този подход неутрализира няколко защитни стратегии, като гарантира, че една компрометирана или манипулирана RPC крайна точка не може да подведе или да „провали“ ботнета.

Изследователи преди това са забелязали подобна техника в злонамерени npm пакети colortoolsv2 и mimelib2, които са били използвани за разпространение на компоненти за изтегляне до разработчици.

Високочестотно запитване на команди и многослойна устойчивост

След установяване на комуникация със своя C2 сървър, EtherRAT влиза в бърз цикъл на запитване, изпълняващ се на всеки 500 милисекунди. Всеки отговор, надвишаващ десет символа, се интерпретира като JavaScript и се изпълнява незабавно на компрометираната система.

Дългосрочният достъп се поддържа чрез пет техники за постоянство, които повишават надеждността в различните процеси на стартиране на Linux:

Методи за постоянство:

  • Потребителска услуга на Systemd
  • Автоматично стартиране на XDG
  • Cron задачи
  • .bashrc модификация
  • Инжектиране на профил

Чрез разпространяване по множество пътища на изпълнение, зловредният софтуер продължава да работи дори след рестартиране, осигурявайки непрекъснат достъп за операторите.

Възможности за самообновяване и стратегия за обфускация

EtherRAT включва сложен процес на актуализиране: той изпраща собствения си изходен код до крайна точка на API, получава модифицирана версия от C2 сървъра и се рестартира с този нов вариант. Въпреки че актуализацията е функционално идентична, върнатият полезен товар е обфускиран по различен начин, което помага на импланта да избегне техниките за статично откриване.

Кодът се припокрива с предишни семейства заплахи в JavaScript

По-нататъшен анализ разкрива, че части от криптирания зареждащ механизъм на EtherRAT споделят модели с BeaverTail, известен JavaScript-базиран инструмент за изтегляне и кражба на информация, използван в операциите „Contagious Interview“. Това потвърждава оценката, че EtherRAT е или пряк наследник, или разширение на инструментите, използвани в тази кампания.

Последици за защитниците: Преход към скритост и постоянство

EtherRAT демонстрира значителна еволюция в експлоатацията на React2Shell. Вместо да се фокусира единствено върху опортюнистични дейности като криптодобив или кражба на идентификационни данни, този имплант дава приоритет на скрит, дългосрочен достъп. Неговата комбинация от C2 операции, управлявани от интелигентни договори, проверка на крайните точки, базирана на консенсус, множество слоеве за постоянство и непрекъснато самозамъгляване представлява сериозно предизвикателство за защитниците.

Ключови изводи за екипите по сигурност

Екипите по сигурността трябва да отбележат, че EtherRAT представлява значителна ескалация в експлоатацията на RSC, превръщайки го в устойчива и силно адаптивна заплаха, способна да поддържа дългосрочни прониквания. Неговата инфраструктура за командване и контрол е особено устойчива, използвайки интелигентни договори на Ethereum и механизъм за консенсус между множество крайни точки, за да издържи на опити за sinkholing, сваляне и манипулиране на отделни крайни точки. Освен това, тясната връзка на зловредния софтуер с кампанията Contagious Interview подчертава продължаващия фокус върху високоценни разработчици, подчертавайки необходимостта от повишена бдителност в общностите за разработка на блокчейн и Web3.

Тенденция

Corechainedge.com

Измамни уебсайтове, Рекламен софтуер, Похитители на браузъри
Безопасността онлайн изисква постоянна бдителност, тъй като безброй страници са проектирани да имитират легитимни услуги, като същевременно дискретно манипулират посетителите. Един такъв пример е...

Измама с искане за анулиране на вашия уебмейл акаунт

Фишинг, Спам
Киберпрестъпниците продължават да създават подвеждащи съобщения, имитиращи рутинни известия за услуги, а измамата „Заявка за закриване на вашия уебмейл акаунт“ е ясен пример за това. Въпреки че тези имейли може да изглеждат спешни или официални, те са част от фишинг схема, предназначена да събира чувствителна информация. Те не са свързани с никакви легитимни компании, организации или доставчици...

Ptifirelaria.com

Измамни уебсайтове, Рекламен софтуер, Похитители на браузъри
Бдението при навигиране в интернет е от съществено значение, тъй като безброй подвеждащи страници са предназначени да подведат посетителите, да предизвикат опасни действия или да ги изложат на...

Най-гледан

Зареждане...