Εκπτωτική προσφορά πολλαπλών αδειών
Βάση δεδομένων απειλών Εργαλεία απομακρυσμένης διαχείρισης Κακόβουλο λογισμικό EtherRAT

Κακόβουλο λογισμικό EtherRAT

Μέχρι το Mezo το Εργαλεία απομακρυσμένης διαχείρισης, Προηγμένη επίμονη απειλή (APT)
Μετάφραση σε:

Μια πρόσφατα αποκαλυφθείσα απειλητική εκστρατεία που συνδέεται με βορειοκορεάτες παρόχους πιστεύεται ότι εκμεταλλεύεται την κρίσιμη ευπάθεια React2Shell (RSC) για να αναπτύξει ένα προηγουμένως άγνωστο trojan απομακρυσμένης πρόσβασης γνωστό ως EtherRAT. Αυτό το κακόβουλο λογισμικό ξεχωρίζει για την ενσωμάτωση έξυπνων συμβολαίων Ethereum στη ροή εργασίας Command‑and‑Control (C2), την εγκατάσταση πολλαπλών επιπέδων persistence σε Linux και την ομαδοποίηση του δικού του χρόνου εκτέλεσης Node.js κατά την ανάπτυξη.

Σύνδεσμοι προς τις τρέχουσες επιχειρήσεις «Μεταδοτικής Συνέντευξης»

Οι ομάδες ασφαλείας έχουν εντοπίσει ισχυρές ομοιότητες μεταξύ της δραστηριότητας του EtherRAT και της μακροχρόνιας εκστρατείας που αναφέρεται ως Contagious Interview, μιας σειράς επιθέσεων που είναι ενεργή από τις αρχές του 2025 και χρησιμοποιεί την τεχνική EtherHiding για την αποστολή κακόβουλου λογισμικού.

Αυτές οι επιχειρήσεις συνήθως στοχεύουν προγραμματιστές blockchain και Web3, αποκρύπτοντας κακόβουλες προθέσεις πίσω από κατασκευασμένες συνεντεύξεις εργασίας, τεστ κωδικοποίησης και αξιολογήσεις βίντεο. Τα θύματα συνήθως επικοινωνούν μέσω πλατφορμών όπως το LinkedIn, το Upwork και το Fiverr, όπου οι εισβολείς μιμούνται νόμιμους recruiters που προσφέρουν ευκαιρίες απασχόλησης υψηλής αξίας.

Οι ερευνητές σημειώνουν ότι αυτό το σύμπλεγμα απειλών έχει γίνει μια από τις πιο παραγωγικές κακόβουλες δυνάμεις εντός του οικοσυστήματος npm, επιδεικνύοντας την ικανότητά του να διεισδύει σε αλυσίδες εφοδιασμού που βασίζονται σε JavaScript και σε ροές εργασίας που επικεντρώνονται στα κρυπτονομίσματα.

Η Αρχική Παραβίαση: Εκμετάλλευση του React2Shell

Η ακολουθία επίθεσης ξεκινά με την εκμετάλλευση του CVE‑2025‑55182, ενός κρίσιμου ευάλωτου σημείου RSC με βαθμολογία απόλυτης σοβαρότητας 10. Χρησιμοποιώντας αυτό το ελάττωμα, οι εισβολείς εκτελούν μια εντολή με κωδικοποίηση Base64 που κατεβάζει και ενεργοποιεί ένα σενάριο κελύφους που είναι υπεύθυνο για την εκκίνηση του κύριου εμφυτεύματος JavaScript.

Το σενάριο ανακτάται μέσω του curl, με τα wget και python3 να λειτουργούν ως μέθοδοι δημιουργίας αντιγράφων ασφαλείας. Πριν από την εκκίνηση του κύριου φορτίου, προετοιμάζει το σύστημα αποκτώντας το Node.js v20.10.0 απευθείας από το nodejs.org και, στη συνέχεια, γράφει τόσο ένα κρυπτογραφημένο blob δεδομένων όσο και ένα κρυφό dropper JavaScript στο δίσκο. Για να περιορίσει τα εγκληματολογικά ίχνη, το σενάριο καθαρίζεται μόνο του μόλις ολοκληρωθεί η εγκατάσταση και παραδώσει τον έλεγχο στο dropper.

Παράδοση του EtherRAT: Κρυπτογράφηση, Εκτέλεση και Έξυπνη Σύμβαση C2

Η βασική λειτουργία του dropper είναι απλή: αποκρυπτογραφήστε το ωφέλιμο φορτίο EtherRAT χρησιμοποιώντας ένα ενσωματωμένο κλειδί και εκκινήστε το με το πρόσφατα ληφθέν δυαδικό αρχείο Node.js.

Το ξεχωριστό χαρακτηριστικό του EtherRAT είναι η εξάρτησή του από το EtherHiding, μια μέθοδο που ανακτά τη διεύθυνση διακομιστή C2 από ένα έξυπνο συμβόλαιο Ethereum κάθε πέντε λεπτά. Αυτό επιτρέπει στους χειριστές να ενημερώνουν την υποδομή εν κινήσει, ακόμη και αν οι defenders διαταράσσουν υπάρχοντες τομείς.

Μια μοναδική ιδιαιτερότητα σε αυτήν την υλοποίηση είναι το σύστημα ψηφοφορίας που βασίζεται στη συναίνεση. Το EtherRAT υποβάλλει ερωτήματα σε εννέα δημόσια τελικά σημεία RPC Ethereum ταυτόχρονα, συλλέγει τα αποτελέσματα και εμπιστεύεται τη διεύθυνση URL C2 που επιστρέφεται από την πλειοψηφία. Αυτή η προσέγγιση εξουδετερώνει αρκετές αμυντικές στρατηγικές, διασφαλίζοντας ότι ένα παραβιασμένο ή χειραγωγημένο τελικό σημείο RPC δεν μπορεί να παραπλανήσει ή να καταστρέψει το botnet.

Οι ερευνητές εντόπισαν προηγουμένως μια παρόμοια τεχνική στα κακόβουλα πακέτα npm colortoolsv2 και mimelib2, τα οποία χρησιμοποιήθηκαν για τη διανομή στοιχείων λήψης σε προγραμματιστές.

Υψηλής συχνότητας εντολών σταθμοσκόπησης και πολυεπίπεδη αντοχή

Αφού εδραιώσει την επικοινωνία με τον διακομιστή C2, το EtherRAT εισέρχεται σε έναν γρήγορο κύκλο ανίχνευσης που εκτελείται κάθε 500 χιλιοστά του δευτερολέπτου. Οποιαδήποτε απάντηση που υπερβαίνει τους δέκα χαρακτήρες ερμηνεύεται ως JavaScript και εκτελείται αμέσως στο παραβιασμένο σύστημα.

Η μακροπρόθεσμη πρόσβαση διατηρείται μέσω πέντε τεχνικών διατήρησης, οι οποίες ενισχύουν την αξιοπιστία σε διάφορες διαδικασίες εκκίνησης του Linux:

Μέθοδοι Επιμονής:

  • Υπηρεσία χρήστη Systemd
  • Καταχώρηση αυτόματης εκκίνησης XDG
  • Εργασίες Cron
  • Τροποποίηση .bashrc
  • Εισαγωγή προφίλ

Με την εξάπλωση σε πολλαπλές διαδρομές εκτέλεσης, το κακόβουλο λογισμικό συνεχίζει να εκτελείται ακόμη και μετά τις επανεκκινήσεις, εξασφαλίζοντας αδιάλειπτη πρόσβαση για τους χειριστές.

Δυνατότητες αυτοενημέρωσης και στρατηγική συσκότισης

Το EtherRAT περιλαμβάνει μια εξελιγμένη διαδικασία ενημέρωσης: στέλνει τον δικό του πηγαίο κώδικα σε ένα τελικό σημείο API, λαμβάνει μια τροποποιημένη έκδοση από τον διακομιστή C2 και επανεκκινείται με αυτήν τη νέα παραλλαγή. Παρόλο που η ενημέρωση είναι λειτουργικά πανομοιότυπη, το επιστρεφόμενο ωφέλιμο φορτίο αποκρύπτεται διαφορετικά, βοηθώντας το εμφύτευμα να αποφύγει τις τεχνικές στατικής ανίχνευσης.

Ο κώδικας επικαλύπτεται με προηγούμενες οικογένειες απειλών JavaScript

Περαιτέρω ανάλυση αποκαλύπτει ότι τμήματα του κρυπτογραφημένου προγράμματος φόρτωσης του EtherRAT μοιράζονται μοτίβα με το BeaverTail, ένα γνωστό πρόγραμμα λήψης που βασίζεται σε JavaScript και κλοπής πληροφοριών που χρησιμοποιείται σε λειτουργίες Contagious Interview. Αυτό ενισχύει την εκτίμηση ότι το EtherRAT είναι είτε άμεσος διάδοχος είτε επέκταση των εργαλείων που χρησιμοποιούνται σε αυτήν την καμπάνια.

Επιπτώσεις για τους Αμυνόμενους: Μια στροφή προς την μυστικότητα και την επιμονή

Το EtherRAT παρουσιάζει μια σημαντική εξέλιξη στην αξιοποίηση του React2Shell. Αντί να επικεντρώνεται αποκλειστικά σε ευκαιριακές δραστηριότητες όπως η εξόρυξη κρυπτονομισμάτων ή η κλοπή διαπιστευτηρίων, αυτό το εμφύτευμα δίνει προτεραιότητα στην κρυφή, μακροπρόθεσμη πρόσβαση. Ο συνδυασμός λειτουργιών C2 που βασίζονται σε έξυπνα συμβόλαια, επαλήθευσης τελικού σημείου βάσει συναίνεσης, πολλαπλών επιπέδων επιμονής και συνεχούς αυτο-συγκλονισμού αποτελεί σοβαρή πρόκληση για τους υπερασπιστές.

Βασικά σημεία για τις ομάδες ασφαλείας

Οι ομάδες ασφαλείας θα πρέπει να σημειώσουν ότι το EtherRAT αντιπροσωπεύει μια σημαντική κλιμάκωση στην εκμετάλλευση των RSC, μετατρέποντάς το σε μια επίμονη και εξαιρετικά προσαρμόσιμη απειλή ικανή να διατηρήσει μακροπρόθεσμες εισβολές. Η υποδομή εντολών και ελέγχου του είναι ιδιαίτερα ανθεκτική, αξιοποιώντας τα έξυπνα συμβόλαια Ethereum και έναν μηχανισμό συναίνεσης πολλαπλών τερματικών σημείων για να αντέξει σε απόπειρες sinkholing, καταργήσεις και χειραγώγηση μεμονωμένων τερματικών σημείων. Επιπλέον, η στενή σχέση του κακόβουλου λογισμικού με την καμπάνια Contagious Interview υπογραμμίζει τη συνεχή εστίαση σε στόχους προγραμματιστών υψηλής αξίας, τονίζοντας την ανάγκη για αυξημένη επαγρύπνηση εντός των κοινοτήτων ανάπτυξης blockchain και Web3.

Τάσεις

Αίτημα για ακύρωση του λογαριασμού σας στο Webmail -...

Phishing, Ανεπιθύμητη αλληλογραφία
Οι κυβερνοεγκληματίες συνεχίζουν να δημιουργούν παραπλανητικά μηνύματα που μιμούνται συνήθεις ειδοποιήσεις υπηρεσίας και η απάτη «Αίτημα για ακύρωση του λογαριασμού σας στο Webmail» είναι ένα σαφές παράδειγμα. Παρόλο που αυτά τα email μπορεί να φαίνονται επείγοντα ή επίσημα, αποτελούν μέρος ενός σχεδίου ηλεκτρονικού «ψαρέματος» (phishing) που έχει σχεδιαστεί για τη συλλογή ευαίσθητων...

Περισσότερες εμφανίσεις

Κακόβουλο λογισμικό

Phishing, Ανεπιθύμητη αλληλογραφία
30,510
Το μήνυμα απάτης «Apple Pay Suspended» είναι ένας τύπος τακτικής phishing που στοχεύει χρήστες του Apple Pay. Το μήνυμα υποστηρίζει ότι το πορτοφόλι Apple Pay του χρήστη έχει τεθεί σε αναστολή και τους προτρέπει να κάνουν κλικ σε έναν σύνδεσμο για να το επαναφέρουν. Ωστόσο, κάνοντας κλικ στον σύνδεσμο θα μεταφερθεί ο χρήστης σε έναν ψεύτικο ιστότοπο που έχει σχεδιαστεί για να κλέβει τα...
Φόρτωση...