Malware EtherRAT
Nedávno odhalená hrozící kampaň spojená se severokorejskými operátory pravděpodobně zneužívá kritickou zranitelnost React2Shell (RSC) k nasazení dříve neviděného trojského koně pro vzdálený přístup známého jako EtherRAT. Tento malware vyniká začleněním chytrých smluv Ethereum do svého pracovního postupu Command-and-Control (C2), instalací více vrstev persistence v Linuxu a sdružováním vlastního běhového prostředí Node.js během nasazení.
Obsah
Odkazy na probíhající operace „Nakažlivý rozhovor“
Bezpečnostní týmy identifikovaly silné podobnosti mezi aktivitou EtherRAT a dlouhodobou kampaní s názvem Contagious Interview, což je série útoků, která probíhá od začátku roku 2025 a k doručování malwaru využívá techniku EtherHiding.
Tyto operace se obvykle zaměřují na vývojáře blockchainu a Web3 tím, že maskují zlomyslné úmysly za vykonstruovanými pracovními pohovory, kódovacími testy a video hodnoceními. Oběti jsou obvykle kontaktovány prostřednictvím platforem, jako jsou LinkedIn, Upwork a Fiverr, kde se útočníci vydávají za legitimní náboráře nabízející vysoce hodnotné pracovní příležitosti.
Výzkumníci poznamenávají, že tento klastr hrozeb se stal jednou z nejproduktivnějších škodlivých sil v ekosystému npm a prokázal svou schopnost infiltrovat dodavatelské řetězce založené na JavaScriptu a pracovní postupy zaměřené na kryptoměny.
První narušení: zneužití React2Shell
Útočná sekvence začíná zneužitím CVE‑2025‑55182, což je kritická zranitelnost RSC s perfektním skóre závažnosti 10. Pomocí této chyby útočníci spustí příkaz kódovaný v Base64, který stáhne a spustí shellový skript zodpovědný za zahájení primárního implantátu JavaScriptu.
Skript se načítá pomocí curl, přičemž wget a python3 slouží jako záložní metody. Před spuštěním hlavního datového zatížení připraví systém získáním Node.js v20.10.0 přímo z nodejs.org a poté zapíše na disk zašifrovaný datový blob a skrytý JavaScript dropper. Aby se omezily forenzní stopy, skript po dokončení instalace po sobě uklidí a předá kontrolu dropperu.
Dodání EtherRAT: Šifrování, provádění a chytrá smlouva C2
Základní funkce dropperu je přímočará: dešifrovat datovou zátěž EtherRAT pomocí pevně naprogramovaného klíče a spustit ji s čerstvě staženým binárním souborem Node.js.
Výjimečnou vlastností EtherRATu je jeho závislost na EtherHidingu, metodě, která každých pět minut získává adresu serveru C2 z chytré smlouvy Ethereum. To umožňuje operátorům aktualizovat infrastrukturu za chodu, i když obránci naruší stávající domény.
Unikátní novinkou této implementace je systém hlasování založený na konsensu. EtherRAT dotazuje devět veřejných koncových bodů RPC Etherea současně, shromažďuje výsledky a důvěřuje URL adrese C2 vrácené většinou. Tento přístup neutralizuje několik obranných strategií a zajišťuje, že jeden kompromitovaný nebo manipulovaný koncový bod RPC nemůže botnet zmást ani jej prolomit.
Výzkumníci již dříve objevili podobnou techniku v škodlivých npm balíčcích colortoolsv2 a mimelib2, které byly používány k distribuci stahovacích komponent vývojářům.
Vysokofrekvenční dotazování příkazů a vícevrstvá perzistence
Po navázání komunikace se svým serverem C2 se EtherRAT zapne v rychlém cyklu dotazování, který probíhá každých 500 milisekund. Jakákoli odpověď přesahující deset znaků je interpretována jako JavaScript a okamžitě spuštěna na napadeném systému.
Dlouhodobý přístup je udržován pomocí pěti technik perzistence, které zvyšují spolehlivost v rámci různých procesů spouštění Linuxu:
Metody perzistence:
- Uživatelská služba Systemd
- Automatické spuštění XDG
- Cron úlohy
- Modifikace .bashrc
- Vstřikování profilu
Díky šíření přes několik spouštěcích cest malware pokračuje v činnosti i po restartu, což zajišťuje nerušený přístup pro operátory.
Samoaktualizační funkce a strategie zmatkování
EtherRAT zahrnuje sofistikovaný proces aktualizace: odešle svůj vlastní zdrojový kód do koncového bodu API, přijme upravenou verzi ze serveru C2 a znovu se spustí s touto novou variantou. Ačkoli je aktualizace funkčně identická, vrácený datový obsah je jinak obfuskován, což pomáhá implantátu vyhnout se technikám detekce statické elektřiny.
Kód se překrývá s předchozími rodinami hrozeb JavaScriptu
Další analýza odhalila, že části šifrovaného zavaděče EtherRAT sdílejí vzorce s BeaverTailem, známým stahovačem a krádeží informací založeným na JavaScriptu, který se používá v operacích Contagious Interview. To posiluje závěr, že EtherRAT je buď přímým nástupcem, nebo rozšířením nástrojů použitých v této kampani.
Důsledky pro obránce: Posun směrem k nenápadnosti a vytrvalosti
EtherRAT demonstruje významný vývoj ve zneužívání React2Shell. Místo zaměření pouze na oportunistické aktivity, jako je těžba kryptoměn nebo krádež přihlašovacích údajů, tento implantát upřednostňuje nenápadný a dlouhodobý přístup. Jeho kombinace operací C2 řízených chytrými smlouvami, ověřování koncových bodů založeného na konsensu, více vrstev perzistence a neustálého sebezamlžování představuje pro obránce vážnou výzvu.
Klíčové poznatky pro bezpečnostní týmy
Bezpečnostní týmy by si měly uvědomit, že EtherRAT představuje významnou eskalaci zneužívání RSC a transformuje jej do perzistentní a vysoce adaptabilní hrozby schopné dlouhodobých útoků. Jeho infrastruktura velení a řízení je obzvláště odolná a využívá chytré smlouvy Ethereum a mechanismus konsensu mezi více koncovými body, aby odolala pokusům o sinkholing, zastavení činnosti a manipulaci s jednotlivými koncovými body. Úzká souvislost malwaru s kampaní Contagious Interview navíc zdůrazňuje pokračující zaměření na vysoce hodnotné cílové vývojáře a zdůrazňuje potřebu zvýšené ostražitosti v rámci komunit vývojářů blockchainu a Web3.
