הצעת הנחה מרובה רישיונות
מסד נתונים של איומים כלי ניהול מרחוק תוכנה זדונית של EtherRAT

תוכנה זדונית של EtherRAT

עד Mezo ב-כלי ניהול מרחוק, איום מתמשך מתקדם (APT)
לתרגם ל:

קמפיין איומים שנחשף לאחרונה ומקושר למפעילים צפון קוריאניים ככל הנראה מנצל את הפגיעות הקריטית של React2Shell (RSC) כדי לפרוס טרויאני גישה מרחוק שלא נראה קודם לכן המכונה EtherRAT. נוזקה זו בולטת בכך שהיא משלבת חוזים חכמים של את'ריום בתהליך העבודה של Command-and-Control (C2) שלה, מתקינה שכבות התמדה מרובות בלינוקס, ומשלבת את זמן הריצה של Node.js שלה במהלך הפריסה.

קישורים לפעולות “ראיונות מדבקים” המתמשכות

צוותי אבטחה זיהו קווי דמיון חזקים בין פעילות EtherRAT לבין הקמפיין ארוך השנים המכונה Contagious Interview, סדרת מתקפות שפעילות מתחילת 2025 ומשתמשת בטכניקת EtherHiding להעברת תוכנות זדוניות.

פעולות אלו מכוונות בדרך כלל למפתחי בלוקצ'יין ו-Web3 על ידי הסתרת כוונות זדוניות מאחורי ראיונות עבודה מפוברקים, מבחני קידוד והערכות וידאו. בדרך כלל נוצרות קשר עם הקורבנות דרך פלטפורמות כמו לינקדאין, Upwork ו-Fiverr, שבהן התוקפים מתחזים למגייסים לגיטימיים המציעים הזדמנויות תעסוקה בעלות ערך גבוה.

חוקרים מציינים כי אשכול איומים זה הפך לאחד הכוחות הזדוניים הפרודוקטיביים ביותר במערכת האקולוגית של npm, והדגים את כישוריו לחדור לשרשראות אספקה מבוססות JavaScript ולזרימות עבודה ממוקדות קריפטו.

הפריצה הראשונית: ניצול React2Shell

רצף ההתקפה מתחיל בניצול CVE-2025-55182, פגיעות קריטית ב-RSC עם ציון חומרה מושלם של 10. באמצעות פגם זה, התוקפים מבצעים פקודה מקודדת Base64 שמורידה ומפעילה סקריפט מעטפת האחראי על הפעלת שתל ה-JavaScript העיקרי.

הסקריפט נלקח דרך curl, כאשר wget ו-python3 משמשים כשיטות גיבוי. לפני הפעלת המטען הראשי, המערכת נערכת על ידי הורדת Node.js v20.10.0 ישירות מ-nodejs.org, ולאחר מכן כותבת גם בלוב נתונים מוצפן וגם קובץ JavaScript מוסתר לדיסק. כדי להגביל עקבות פורנזיות, הסקריפט מנקה אחריו לאחר השלמת ההתקנה ומעביר את השליטה למפעיל.

אספקת EtherRAT: הצפנה, ביצוע וחוזה חכם C2

הפונקציה העיקרית של ה-dropper היא פשוטה: לפענח את מטען ה-EtherRAT באמצעות מפתח קשיח ולהפעיל אותו באמצעות הקובץ הבינארי Node.js שהורדת לאחרונה.

המאפיין הבולט של EtherRAT הוא ההסתמכות שלו על EtherHiding, שיטה שמאחזרת את כתובת שרת ה-C2 מחוזה חכם של את'ריום כל חמש דקות. זה מאפשר למפעילים לעדכן את התשתית תוך כדי תנועה, גם אם מגיני הגנה משבשים דומיינים קיימים.

טוויסט ייחודי במימוש זה הוא מערכת ההצבעה המבוססת על קונצנזוס. EtherRAT מבצע שאילתה בו זמנית של תשע נקודות קצה ציבוריות של RPC של Ethereum, אוסף את התוצאות וסומך על כתובת ה-C2 המוחזרת על ידי הרוב. גישה זו מנטרלת מספר אסטרטגיות הגנה, ומבטיחה שנקודת קצה אחת של RPC שנפגעה או עברה מניפולציה לא תוכל להטעות או לחדור לרשת הבוטים.

חוקרים זיהו בעבר טכניקה דומה בחבילות npm זדוניות colortoolsv2 ו- mimelib2, ששימשו להפצת רכיבי הורדה למפתחים.

פיקוד סקר בתדירות גבוהה והתמדה רב-שכבתית

לאחר יצירת תקשורת עם שרת ה-C2 שלו, EtherRAT נכנס למחזור סקר מהיר הפועל כל 500 מילישניות. כל תגובה העולה על עשרה תווים מתפרשת כ-JavaScript ומבוצעת באופן מיידי במערכת הפגועה.

גישה ארוכת טווח נשמרת באמצעות חמש טכניקות התמדה, המקדמות אמינות בתהליכי הפעלה שונים של לינוקס:

שיטות התמדה:

  • שירות משתמשי Systemd
  • ערך הפעלה אוטומטית של XDG
  • עבודות קרון
  • שינוי .bashrc
  • הזרקת פרופיל

על ידי התפשטות על פני נתיבי ביצוע מרובים, התוכנה הזדונית ממשיכה לפעול גם לאחר אתחול מחדש, מה שמבטיח גישה ללא הפרעה למפעילים.

יכולות עדכון עצמי ואסטרטגיית ערפול

EtherRAT כולל תהליך עדכון מתוחכם: הוא שולח את קוד המקור שלו לנקודת קצה של ה-API, מקבל גרסה שונה משרת C2, ומפעיל את עצמו מחדש עם הגרסה החדשה הזו. למרות שהעדכון זהה מבחינה פונקציונלית, המטען המוחזר מעורפל בצורה שונה, מה שעוזר לשתל להתחמק מטכניקות זיהוי סטטיות.

חפיפת קוד עם משפחות איומים קודמות של JavaScript

ניתוח נוסף מגלה שחלקים מהטוען המוצפן של EtherRAT חולקים דפוסים עם BeaverTail, כלי מוריד וגניבת מידע מבוסס JavaScript ידוע המשמש בפעולות Contagious Interview. עובדה זו מחזקת את ההערכה ש-EtherRAT הוא יורש ישיר או הרחבה של הכלים המשמשים בקמפיין זה.

השלכות על מגינים: מעבר לעבר התגנבות והתמדה

EtherRAT מדגים אבולוציה משמעותית בניצול React2Shell. במקום להתמקד אך ורק בפעילויות אופורטוניסטיות כמו כריית קריפטו או גניבת אישורים, שתל זה נותן עדיפות לגישה חשאית וארוכת טווח. השילוב שלו של פעולות C2 המונעות על ידי חוזים חכמים, אימות נקודות קצה מבוסס קונצנזוס, שכבות התמדה מרובות והסתרה עצמית מתמשכת מציב אתגר רציני עבור המגנים.

נקודות מפתח עבור צוותי אבטחה

על צוותי אבטחה לציין כי EtherRAT מייצג הסלמה משמעותית בניצול RSC, והופך אותו לאיום מתמשך וגמיש מאוד המסוגל לעמוד בפני חדירות ארוכות טווח. תשתית הפיקוד והשליטה שלו עמידה במיוחד, וממנפת חוזים חכמים של Ethereum ומנגנון קונצנזוס מרובה נקודות קצה כדי לעמוד בפני ניסיונות חדירה, הסרות ומניפולציה של נקודות קצה בודדות. בנוסף, הקשר ההדוק של הנוזקה לקמפיין Contagious Interview מדגיש את התמקדות המתמשכת במטרות מפתחים בעלות ערך גבוה, ומדגיש את הצורך בערנות מוגברת בקהילות פיתוח הבלוקצ'יין וה-Web3.

מגמות

בקשה לביטול הונאת חשבון הדואר האלקטרוני שלך

פישינג, ספאם
פושעי סייבר ממשיכים ליצור הודעות מטעות המחקות התראות שירות שגרתיות, והונאת 'בקשה לבטל את חשבון הדוא"ל שלך' היא דוגמה מובהקת לכך. למרות שהודעות דוא"ל אלה עשויות להיראות דחופות או רשמיות, הן חלק מתוכנית פישינג שנועדה לאסוף מידע רגיש. הן אינן קשורות לחברות, ארגונים או ספקי שירות לגיטימיים. הודעת ביטול הונאה ההונאה מגיעה כמייל הטוען כי בקשה לסגירת חשבון הדואר האלקטרוני של הנמען כבר הוגשה....

הכי נצפה

תוכנה זדונית

פישינג, ספאם
30,510
הודעת ההונאה 'Apple Pay Suspended' היא סוג של טקטיקת פישינג המכוונת למשתמשים של Apple Pay. ההודעה טוענת כי ארנק Apple Pay של המשתמש הושעה וקוראת לו ללחוץ על קישור כדי לשחזר אותו. עם זאת, לחיצה על הקישור תוביל את המשתמש לאתר מזויף שנועד לגנוב את המידע האישי והפיננסי שלו. אם משתמש נופל קורבן לתוכנית זו, ההשלכות עלולות להיות חמורות, כולל הפסדים כספיים וגניבת זהות. חיוני לדעת לזהות ולהימנע...
טוען...