Monen lisenssin alennustarjous
Uhatietokanta Etähallintatyökalut EtherRAT-haittaohjelma

EtherRAT-haittaohjelma

Vuonna Mezo vuonna Etähallintatyökalut, Advanced Persistent Threat (APT)
Käännä:

Äskettäin paljastuneen pohjoiskorealaisiin operaattoreihin liittyvän uhkakampanjan uskotaan hyödyntävän kriittistä React2Shell (RSC) -haavoittuvuutta ottaakseen käyttöön aiemmin näkymättömän etäkäyttötroijalaisen nimeltä EtherRAT. Tämä haittaohjelma erottuu joukosta siiten, että se sisällyttää Ethereumin älysopimuksia Command-and-Control (C2) -työnkulkuunsa, asentaa useita pysyvyyskerroksia Linuxiin ja niputtaa oman Node.js-ajonaikaisen ympäristönsä käyttöönoton aikana.

Linkit meneillään oleviin tarttuvien haastattelujen operaatioihin

Tietoturvatiimit ovat havainneet vahvoja yhtäläisyyksiä EtherRATin toiminnan ja pitkään jatkuneen Contagious Interview -kampanjan välillä. Kyseessä on hyökkäyssarja, joka on ollut aktiivinen vuoden 2025 alusta lähtien ja käyttää EtherHiding-tekniikkaa haittaohjelmien toimittamiseen.

Nämä operaatiot kohdistuvat tyypillisesti lohkoketju- ja Web3-kehittäjiin peittämällä pahantahtoisia aikomuksia tekaistujen työhaastattelujen, koodaustestien ja videoarviointien taakse. Uhreihin otetaan yleensä yhteyttä alustojen, kuten LinkedInin, Upworkin ja Fiverrin, kautta, joilla hyökkääjät esiintyvät laillisina rekrytoijina, jotka tarjoavat korkean arvon työmahdollisuuksia.

Tutkijat huomauttavat, että tästä uhkaklusterista on tullut yksi tuottavimmista haitallisista voimista npm-ekosysteemissä, ja se osoittaa kykynsä tunkeutua JavaScript-pohjaisiin toimitusketjuihin ja kryptovaluuttoihin keskittyviin työnkulkuihin.

Ensimmäinen murto: React2Shellin hyödyntäminen

Hyökkäyssekvenssi alkaa CVE-2025-55182:n hyödyntämisellä. Kyseessä on kriittinen RSC-haavoittuvuus, jonka vakavuusaste on 10. Tämän haavoittuvuuden avulla hyökkääjät suorittavat Base64-koodatun komennon, joka lataa ja käynnistää komentosarjan, joka vastaa ensisijaisen JavaScript-implantin käynnistämisestä.

Skripti noudetaan curlin kautta, ja wget ja python3 toimivat varametodeina. Ennen päähyötykuorman käynnistämistä se valmistelee järjestelmän hankkimalla Node.js v20.10.0:n suoraan nodejs.org-sivustolta ja kirjoittaa sitten sekä salatun datablobin että peitetyn JavaScript-dropperin levylle. Oikeustieteellisten jälkien rajoittamiseksi skripti siivoaa itsensä jälkensä asennuksen valmistuttua ja luovuttaa hallinnan dropperille.

EtherRATin toimitus: salaus, toteutus ja älysopimus C2

Dropperin ydintoiminto on yksinkertainen: purkaa EtherRAT-hyötykuorman salaus kiinteästi koodatulla avaimella ja käynnistää se juuri ladatulla Node.js-binääritiedostolla.

EtherRATin erottuva ominaisuus on sen EtherHiding-menetelmä, joka hakee C2-palvelimen osoitteen Ethereumin älysopimuksesta viiden minuutin välein. Tämä mahdollistaa operaattoreiden päivittää infrastruktuuria lennossa, vaikka puolustajat häiritsisivät olemassa olevia verkkotunnuksia.

Tämän toteutuksen ainutlaatuinen ominaisuus on sen konsensuspohjainen äänestysjärjestelmä. EtherRAT kyselee yhdeksää julkista Ethereum RPC -päätepistettä samanaikaisesti, kerää tulokset ja luottaa enemmistön palauttamaan C2 URL -osoitteeseen. Tämä lähestymistapa neutraloi useita puolustusstrategioita varmistaen, että yksi vaarantunut tai manipuloitu RPC-päätepiste ei voi johtaa harhaan tai sinkuttaa bottiverkkoa.

Tutkijat havaitsivat aiemmin samanlaisen tekniikan haitallisissa npm-paketeissa colortoolsv2 ja mimelib2, joita käytettiin latauskomponenttien jakamiseen kehittäjille.

Korkeataajuinen komentojen kysely ja monikerroksinen pysyvyys

Yhteyden muodostamisen jälkeen C2-palvelimeen EtherRAT aloittaa nopean kyselysyklin, joka suoritetaan 500 millisekunnin välein. Kaikki yli kymmenen merkkiä pitkät vastaukset tulkitaan JavaScriptiksi ja suoritetaan välittömästi vaarantuneessa järjestelmässä.

Pitkäaikaista pääsyä ylläpidetään viiden pysyvyystekniikan avulla, mikä parantaa luotettavuutta eri Linuxin käynnistysprosesseissa:

Pysyvyysmenetelmät:

  • Systemd-käyttäjäpalvelu
  • XDG:n automaattisen käynnistyksen merkintä
  • Cron-työt
  • .bashrc-muokkaus
  • Profiilin injektio

Leviämällä useiden suorituspolkujen kautta haittaohjelma jatkaa toimintaansa myös uudelleenkäynnistyksen jälkeen, mikä varmistaa käyttäjien keskeytymättömän pääsyn järjestelmään.

Itsepäivitysominaisuudet ja hämärtämisstrategia

EtherRAT sisältää hienostuneen päivitysprosessin: se lähettää oman lähdekoodinsa API-päätepisteeseen, vastaanottaa muokatun version C2-palvelimelta ja käynnistää itsensä uudelleen tällä uudella variantilla. Vaikka päivitys on toiminnallisesti identtinen, palautettu hyötykuorma on obfuskoitu eri tavalla, mikä auttaa implanttia välttämään staattisia tunnistustekniikoita.

Koodi päällekkäisyydet aiempien JavaScript-uhkaperheiden kanssa

Lisäanalyysi paljastaa, että osat EtherRATin salatusta latausohjelmasta jakavat kuvioita BeaverTailin kanssa, joka on tunnettu JavaScript-pohjainen lataus- ja tiedonvarastaja, jota käytetään tarttuvien haastattelujen operaatioissa. Tämä vahvistaa arviota, että EtherRAT on joko suora seuraaja tai laajennus kyseisessä kampanjassa käytetyille työkaluille.

Vaikutukset puolustajille: Siirtyminen kohti hiiviskelyä ja sinnikkyyttä

EtherRAT osoittaa merkittävää kehitystä React2Shellin hyödyntämisessä. Sen sijaan, että tämä implantti keskittyisi yksinomaan opportunistisiin toimiin, kuten kryptolouhintaan tai tunnistetietojen varastamiseen, se priorisoi salamyhkäistä, pitkäaikaista pääsyä. Sen yhdistelmä älysopimuksiin perustuvia C2-operaatioita, konsensuspohjaista päätepisteiden varmennusta, useita pysyvyyskerroksia ja jatkuvaa itsensä hämärtämistä on vakava haaste puolustajille.

Keskeiset tiedot tietoturvatiimeille

Tietoturvatiimien tulisi huomioida, että EtherRAT edustaa merkittävää RSC-hyökkäysten hyödyntämisen eskaloitumista ja muuttaa sen pysyväksi ja erittäin sopeutumiskykyiseksi uhaksi, joka kykenee ylläpitämään pitkäaikaisia tunkeutumisia. Sen komento- ja hallintajärjestelmä on erityisen kestävä ja hyödyntää Ethereumin älysopimuksia ja usean päätepisteen konsensusmekanismia kestääkseen sinkhole-yrityksiä, alasvientejä ja yksittäisten päätepisteiden manipulointia. Lisäksi haittaohjelman läheinen yhteys Contagious Interview -kampanjaan korostaa jatkuvaa keskittymistä arvokkaisiin kehittäjäkohteisiin, mikä korostaa lisääntyneen valppauden tarvetta lohkoketju- ja Web3-kehitysyhteisöissä.

Trendaavat

Pyyntö webmail-tilisi peruuttamiseksi huijauksella

Tietojenkalastelu, Roskaposti
Kyberrikolliset jatkavat harhaanjohtavien viestien laatimista, jotka jäljittelevät rutiininomaisia palveluilmoituksia, ja "Pyyntö webmail-tilisi peruuttamiseksi" -huijaus on tästä selkeä esimerkki. Vaikka nämä sähköpostit saattavat näyttää kiireellisiltä tai virallisilta, ne ovat osa tietojenkalasteluyritystä, jonka tarkoituksena on kerätä arkaluonteisia tietoja. Ne eivät ole yhteydessä...

Eniten katsottu

Ladataan...