Több licencre vonatkozó kedvezményes árajánlat
Veszély-adatbázis Távoli adminisztrációs eszközök EtherRAT kártevő

EtherRAT kártevő

Mezo -ra Távoli adminisztrációs eszközök, Advanced Persistent Threat (APT)-ben
Fordítás ide:

Egy nemrég leleplezett, észak-koreai operátorokhoz köthető fenyegetési kampány vélhetően a kritikus React2Shell (RSC) sebezhetőséget használja ki egy korábban láthatatlan, EtherRAT néven ismert távoli hozzáférést biztosító trójai vírus telepítésére. Ez a rosszindulatú program azzal tűnik ki, hogy Ethereum intelligens szerződéseket épít be a Command-and-Control (C2) munkafolyamatába, több perzisztencia réteget telepít Linuxra, és a telepítés során saját Node.js futtatókörnyezetet csatol.

Linkek a folyamatban lévő „fertőző kihallgatási” műveletekhez

Biztonsági csapatok erős hasonlóságokat azonosítottak az EtherRAT tevékenysége és a Contagious Interview néven ismert, régóta tartó kampány között, amely egy 2025 eleje óta aktív támadássorozat, és az EtherHiding technikát használja a rosszindulatú programok terjesztésére.

Ezek a műveletek jellemzően blokklánc- és Web3-fejlesztőket céloznak meg, rosszindulatú szándékokat leplezve kitalált állásinterjúk, kódolási tesztek és videós értékelések mögé. Az áldozatokkal általában olyan platformokon keresztül veszik fel a kapcsolatot, mint a LinkedIn, az Upwork és a Fiverr, ahol a támadók legitim toborzóknak adják ki magukat, akik magas értékű munkalehetőségeket kínálnak.

A kutatók megjegyzik, hogy ez a fenyegetési klaszter az npm ökoszisztéma egyik legproduktívabb rosszindulatú erejévé vált, demonstrálva képességét a JavaScript-alapú ellátási láncokba és a kriptovalutákra összpontosító munkafolyamatokba való beszivárgásban.

Az első behatolás: React2Shell támadások kiaknázása

A támadási sorozat a CVE‑2025‑55182 jelű, kritikus RSC sebezhetőség kihasználásával kezdődik, 10-es maximális súlyossági besorolással. A hibát kihasználva a támadók egy Base64 kódolású parancsot hajtanak végre, amely letölt és elindít egy shell szkriptet, amely az elsődleges JavaScript beültetés elindításáért felelős.

A szkriptet a curl kéri le, a wget és a python3 pedig tartalék metódusokként szolgálnak. A fő hasznos adat elindítása előtt a rendszert a nodejs.org oldalról közvetlenül letölti a Node.js v20.10.0 verzióját, majd egy titkosított adatblokkot és egy rejtett JavaScript droppert is lemezre ír. A nyomkövetési adatok korlátozása érdekében a szkript a telepítés befejezése után kitakarítja saját maga után az irányítást, és átadja az irányítást a droppernek.

EtherRAT szállítása: titkosítás, végrehajtás és intelligens szerződés C2

A dropper alapfunkciója egyszerű: egy fixen kódolt kulccsal visszafejteni az EtherRAT hasznos adatát, majd elindítani a frissen letöltött Node.js bináris fájllal.

Az EtherRAT kiemelkedő tulajdonsága az EtherHiding metódus, amely ötpercenként lekéri a C2 szerver címét egy Ethereum intelligens szerződésből. Ez lehetővé teszi az operátorok számára, hogy menet közben frissítsék az infrastruktúrát, még akkor is, ha a védelmek megzavarják a meglévő domaineket.

Ennek a megvalósításnak egy egyedülálló csavarja a konszenzuson alapuló szavazási rendszer. Az EtherRAT kilenc nyilvános Ethereum RPC végpontot kérdez le egyszerre, összegyűjti az eredményeket, és megbízik a többség által visszaadott C2 URL-ben. Ez a megközelítés semlegesít számos védekező stratégiát, biztosítva, hogy egyetlen feltört vagy manipulált RPC végpont ne tévessze meg vagy ne sinkelje be a botnetet.

A kutatók korábban hasonló technikát észleltek a colortoolsv2 és mimelib2 rosszindulatú npm csomagokban, amelyeket letöltő komponensek fejlesztőknek való terjesztésére használtak.

Nagyfrekvenciás parancslekérdezés és többrétegű perzisztencia

Miután létrejött a kommunikáció a C2 szerverrel, az EtherRAT egy gyors lekérdezési ciklusba kezd, amely 500 milliszekundumként fut. A tíz karakternél hosszabb válaszokat JavaScriptként értelmezi, és azonnal végrehajtja a feltört rendszeren.

A hosszú távú hozzáférést öt megőrzési technika biztosítja, növelve a megbízhatóságot a különböző Linux indítási folyamatokban:

Perzisztencia módszerek:

  • Systemd felhasználói szolgáltatás
  • XDG automatikus indítási bejegyzés
  • Cron-feladatok
  • .bashrc módosítás
  • Profilbefecskendezés

A több végrehajtási útvonalon való terjedéssel a kártevő az újraindítás után is tovább fut, biztosítva a zavartalan hozzáférést az operátorok számára.

Önfrissítő képességek és ködösítési stratégia

Az EtherRAT kifinomult frissítési folyamattal rendelkezik: elküldi saját forráskódját egy API végpontnak, fogad egy módosított verziót a C2 szervertől, majd újraindítja magát ezzel az új változattal. Bár a frissítés funkcionálisan azonos, a visszaadott hasznos adat másképp van elrejtve, ami segít az implantátumnak kikerülni a statikus észlelési technikákat.

Kódátfedés a korábbi JavaScript fenyegetéscsaládokkal

További elemzések kimutatták, hogy az EtherRAT titkosított betöltőjének egyes részei mintákat osztanak meg a BeaverTail-lel, egy ismert JavaScript-alapú letöltővel és információlopóval, amelyet a Contagious Interview műveletekben használnak. Ez megerősíti azt a becslést, hogy az EtherRAT vagy közvetlen utódja, vagy az adott kampányban használt eszközök kiterjesztése.

Következmények a védők számára: Elmozdulás a lopakodás és a kitartás felé

Az EtherRAT jelentős fejlődést mutat a React2Shell kihasználásában. Ahelyett, hogy kizárólag az olyan alkalmi tevékenységekre összpontosítana, mint a kriptovaluták bányászata vagy a hitelesítő adatok ellopása, ez a beültetés a titkos, hosszú távú hozzáférést helyezi előtérbe. Az intelligens szerződéseken alapuló C2-műveletek, a konszenzuson alapuló végpont-ellenőrzés, a több perzisztencia-réteg és a folyamatos önködő elrejtés keveréke komoly kihívást jelent a védők számára.

Főbb tudnivalók biztonsági csapatok számára

A biztonsági csapatoknak figyelembe kell venniük, hogy az EtherRAT jelentős mértékben fokozza az RSC-kihasználást, egy tartós és rendkívül alkalmazkodóképes fenyegetéssé alakítva azt, amely képes hosszú távú behatolások fenntartására. Parancsnoki és vezérlő infrastruktúrája különösen ellenálló, az Ethereum intelligens szerződéseit és egy több végpontos konszenzusos mechanizmust használva ellenáll a behatolási kísérleteknek, a leállításoknak és az egyes végpontok manipulálásának. Ezenkívül a rosszindulatú program szoros kapcsolata a Contagious Interview kampánnyal rávilágít a nagy értékű fejlesztői célpontokra irányuló folyamatos összpontosításra, hangsúlyozva a fokozott éberség szükségességét a blokklánc és a Web3 fejlesztői közösségeken belül.

Felkapott

Kérelem a webmail fiókod törlésére – átverés

Adathalászat, Spam
A kiberbűnözők továbbra is megtévesztő üzeneteket küldenek, amelyek utánozzák a szokásos szolgáltatási értesítéseket, és a „Webmail-fiók törlésének kérése” átverés egyértelmű példa erre. Bár ezek az e-mailek sürgősnek vagy hivatalosnak tűnhetnek, egy adathalász rendszer részét képezik, amelynek célja érzékeny információk gyűjtése. Nem kapcsolódnak semmilyen legitim vállalathoz, szervezethez...

Legnézettebb

Betöltés...