មេរោគ EtherRAT

យុទ្ធនាការគំរាមកំហែងដែលទើបរកឃើញថ្មីៗនេះ ដែលភ្ជាប់ទៅនឹងប្រតិបត្តិករកូរ៉េខាងជើង ត្រូវបានគេជឿថាកំពុងកេងប្រវ័ញ្ចភាពងាយរងគ្រោះដ៏សំខាន់របស់ React2Shell (RSC) ដើម្បីដាក់ពង្រាយមេរោគ Trojan ចូលប្រើពីចម្ងាយដែលមិនធ្លាប់មានពីមុនមក ដែលគេស្គាល់ថា EtherRAT។ មេរោគនេះលេចធ្លោសម្រាប់ការដាក់បញ្ចូលកិច្ចសន្យាឆ្លាតវៃ Ethereum ទៅក្នុងលំហូរការងារ Command‑and‑Control (C2) របស់វា ការដំឡើងស្រទាប់ persistence ច្រើននៅលើ Linux និងការដាក់បញ្ចូល Node.js runtime របស់វាក្នុងអំឡុងពេលដាក់ពង្រាយ។

តំណភ្ជាប់ទៅកាន់ប្រតិបត្តិការ 'សម្ភាសន៍ឆ្លង' ដែលកំពុងដំណើរការ

ក្រុមសន្តិសុខបានកំណត់អត្តសញ្ញាណភាពស្រដៀងគ្នាខ្លាំងរវាងសកម្មភាព EtherRAT និងយុទ្ធនាការរយៈពេលវែងដែលហៅថា Contagious Interview ដែលជាការវាយប្រហារជាបន្តបន្ទាប់ដែលមានសកម្មភាពចាប់តាំងពីដើមឆ្នាំ 2025 ហើយប្រើប្រាស់បច្ចេកទេស EtherHiding សម្រាប់ការចែកចាយមេរោគ។

ប្រតិបត្តិការទាំងនេះជាធម្មតាកំណត់គោលដៅអ្នកអភិវឌ្ឍន៍ blockchain និង Web3 ដោយបិទបាំងចេតនាអាក្រក់នៅពីក្រោយការសម្ភាសន៍ការងារក្លែងក្លាយ ការធ្វើតេស្តសរសេរកូដ និងការវាយតម្លៃវីដេអូ។ ជនរងគ្រោះជាធម្មតាត្រូវបានទាក់ទងតាមរយៈវេទិកាដូចជា LinkedIn, Upwork និង Fiverr ជាកន្លែងដែលអ្នកវាយប្រហារធ្វើពុតជាអ្នកជ្រើសរើសបុគ្គលិកស្របច្បាប់ដែលផ្តល់ឱកាសការងារដែលមានតម្លៃខ្ពស់។

ក្រុមអ្នកស្រាវជ្រាវកត់សម្គាល់ថា ចង្កោមគំរាមកំហែងនេះបានក្លាយជាកម្លាំងព្យាបាទដ៏មានផលិតភាពបំផុតមួយនៅក្នុងប្រព័ន្ធអេកូឡូស៊ី npm ដោយបង្ហាញពីជំនាញរបស់វាក្នុងការជ្រៀតចូលទៅក្នុងខ្សែសង្វាក់ផ្គត់ផ្គង់ដែលមានមូលដ្ឋានលើ JavaScript និងលំហូរការងារដែលផ្តោតលើគ្រីបតូ។

ការបំពានដំបូង៖ ការកេងប្រវ័ញ្ច React2Shell

លំដាប់នៃការវាយប្រហារចាប់ផ្តើមជាមួយនឹងការកេងប្រវ័ញ្ច CVE‑2025‑55182 ដែលជាចំណុចខ្សោយ RSC ដ៏សំខាន់មួយដែលមានពិន្ទុភាពធ្ងន់ធ្ងរល្អឥតខ្ចោះ 10។ ដោយប្រើចំណុចខ្សោយនេះ អ្នកវាយប្រហារប្រតិបត្តិពាក្យបញ្ជាដែលបានអ៊ិនកូដ Base64 ដែលទាញយក និងបង្កឱ្យមានការបញ្ចូល JavaScript បឋម។

ស្គ្រីបត្រូវបានទាញយកតាមរយៈ curl ដោយមាន wget និង python3 ដើរតួជាវិធីសាស្ត្របម្រុងទុក។ មុនពេលបើកដំណើរការ payload សំខាន់ វារៀបចំប្រព័ន្ធដោយទទួលបាន Node.js v20.10.0 ដោយផ្ទាល់ពី nodejs.org បន្ទាប់មកសរសេរទាំង blob ទិន្នន័យដែលបានអ៊ិនគ្រីប និង dropper JavaScript ដែលបិទបាំងទៅកាន់ថាស។ ដើម្បីកំណត់ដានកោសល្យវិច្ច័យ ស្គ្រីបនឹងសម្អាតបន្ទាប់ពីខ្លួនវានៅពេលដែលការដំឡើងត្រូវបានបញ្ចប់ ហើយប្រគល់ការគ្រប់គ្រងទៅឱ្យ dropper។

ការចែកចាយ EtherRAT៖ ការអ៊ិនគ្រីប ការប្រតិបត្តិ និងកិច្ចសន្យាឆ្លាតវៃ C2

មុខងារស្នូលរបស់ dropper គឺសាមញ្ញណាស់៖ ឌិគ្រីប payload EtherRAT ដោយប្រើសោដែលបានអ៊ិនកូដរឹង ហើយបើកដំណើរការវាជាមួយប្រព័ន្ធគោលពីរ Node.js ដែលបានទាញយកថ្មីៗ។

លក្ខណៈពិសេសលេចធ្លោរបស់ EtherRAT គឺការពឹងផ្អែកលើ EtherHiding ដែលជាវិធីសាស្ត្រមួយដែលទាញយកអាសយដ្ឋានម៉ាស៊ីនមេ C2 ពីកិច្ចសន្យាឆ្លាតវៃ Ethereum រៀងរាល់ប្រាំនាទីម្តង។ នេះអនុញ្ញាតឱ្យប្រតិបត្តិករធ្វើបច្ចុប្បន្នភាពហេដ្ឋារចនាសម្ព័ន្ធភ្លាមៗ ទោះបីជាអ្នកការពាររំខានដល់ដែនដែលមានស្រាប់ក៏ដោយ។

ចំណុចពិសេសមួយនៅក្នុងការអនុវត្តនេះគឺប្រព័ន្ធបោះឆ្នោតដែលមានមូលដ្ឋានលើការឯកភាពគ្នា។ EtherRAT សាកសួរចំណុចបញ្ចប់ Ethereum RPC សាធារណៈចំនួនប្រាំបួនក្នុងពេលដំណាលគ្នា ប្រមូលលទ្ធផល និងទុកចិត្ត URL C2 ដែលត្រឡប់មកវិញដោយភាគច្រើន។ វិធីសាស្រ្តនេះបន្សាបយុទ្ធសាស្ត្រការពារជាច្រើន ដោយធានាថាចំណុចបញ្ចប់ RPC ដែលរងការសម្របសម្រួល ឬរៀបចំឡើងមួយមិនអាចបំភាន់ ឬជ្រៀតជ្រែក botnet បានទេ។

ក្រុមអ្នកស្រាវជ្រាវពីមុនបានប្រទះឃើញបច្ចេកទេសស្រដៀងគ្នានេះនៅក្នុងកញ្ចប់ npm ដែលមានមេរោគ colortoolsv2 និង mimelib2 ដែលត្រូវបានប្រើដើម្បីចែកចាយសមាសធាតុទាញយកទៅអ្នកអភិវឌ្ឍន៍។

ការស្ទង់មតិបញ្ជាប្រេកង់ខ្ពស់ និងស្ថេរភាពពហុស្រទាប់

បន្ទាប់ពីបង្កើតទំនាក់ទំនងជាមួយម៉ាស៊ីនមេ C2 របស់វា EtherRAT ចូលទៅក្នុងវដ្តស្ទង់មតិរហ័សដែលដំណើរការរៀងរាល់ 500 មិល្លីវិនាទី។ ការឆ្លើយតបណាមួយដែលលើសពីដប់តួអក្សរត្រូវបានបកស្រាយថាជា JavaScript ហើយត្រូវបានប្រតិបត្តិភ្លាមៗនៅលើប្រព័ន្ធដែលរងការសម្របសម្រួល។

ការចូលប្រើរយៈពេលវែងត្រូវបានរក្សាតាមរយៈបច្ចេកទេសរក្សាបានចំនួនប្រាំ ដែលជំរុញភាពជឿជាក់នៅទូទាំងដំណើរការចាប់ផ្តើមប្រព័ន្ធប្រតិបត្តិការ Linux ផ្សេងៗ៖

វិធីសាស្រ្តនៃការអត់ធ្មត់៖

• សេវាកម្មអ្នកប្រើប្រាស់ Systemd
• ការបញ្ចូលចាប់ផ្ដើមដោយស្វ័យប្រវត្តិ XDG
• ការងារ Cron
• ការកែប្រែ .bashrc
• ការចាក់បញ្ចូលប្រវត្តិរូប

តាមរយៈការរីករាលដាលឆ្លងកាត់ផ្លូវប្រតិបត្តិច្រើន មេរោគនៅតែបន្តដំណើរការសូម្បីតែបន្ទាប់ពីចាប់ផ្ដើមឡើងវិញក៏ដោយ ដែលធានាការចូលប្រើដោយមិនមានការរំខានសម្រាប់ប្រតិបត្តិករ។

សមត្ថភាពធ្វើបច្ចុប្បន្នភាពដោយខ្លួនឯង និងយុទ្ធសាស្ត្របិទបាំង

EtherRAT រួមបញ្ចូលដំណើរការធ្វើបច្ចុប្បន្នភាពដ៏ស្មុគស្មាញមួយ៖ វាផ្ញើកូដប្រភពរបស់វាទៅកាន់ចំណុចបញ្ចប់ API ទទួលបានកំណែដែលបានកែប្រែពីម៉ាស៊ីនមេ C2 ហើយបើកដំណើរការឡើងវិញជាមួយនឹងបំរែបំរួលថ្មីនេះ។ ទោះបីជាការអាប់ដេតមានមុខងារដូចគ្នាបេះបិទក៏ដោយ បន្ទុកដែលបានត្រឡប់មកវិញត្រូវបានបិទបាំងខុសគ្នា ដែលជួយឱ្យការផ្សាំគេចវេះបច្ចេកទេសរកឃើញឋិតិវន្ត។

កូដត្រួតស៊ីគ្នាជាមួយគ្រួសារគំរាមកំហែង JavaScript មុនៗ

ការវិភាគបន្ថែមបង្ហាញថា ផ្នែកខ្លះនៃឧបករណ៍ផ្ទុកដែលបានអ៊ិនគ្រីបរបស់ EtherRAT ចែករំលែកគំរូជាមួយ BeaverTail ដែលជាកម្មវិធីទាញយកដែលមានមូលដ្ឋានលើ JavaScript និងជាកម្មវិធីលួចព័ត៌មានដែលគេស្គាល់ថាប្រើក្នុងប្រតិបត្តិការសម្ភាសន៍ឆ្លង។ នេះពង្រឹងការវាយតម្លៃថា EtherRAT គឺជាអ្នកស្នងតំណែងដោយផ្ទាល់ ឬជាផ្នែកបន្ថែមនៃឧបករណ៍ដែលប្រើក្នុងយុទ្ធនាការនោះ។

ផលប៉ះពាល់សម្រាប់អ្នកការពារ៖ ការផ្លាស់ប្តូរឆ្ពោះទៅរកការលាក់បាំង និងការតស៊ូ

EtherRAT បង្ហាញពីការវិវត្តន៍ដ៏សំខាន់មួយនៅក្នុងការកេងប្រវ័ញ្ច React2Shell។ ជំនួសឱ្យការផ្តោតតែលើសកម្មភាពឱកាសនិយមដូចជាការជីកយករ៉ែគ្រីបតូ ឬការលួចយកព័ត៌មានសម្ងាត់ ការបង្កប់នេះផ្តល់អាទិភាពដល់ការចូលប្រើរយៈពេលវែងដោយលួចលាក់។ ការលាយបញ្ចូលគ្នានៃប្រតិបត្តិការ C2 ដែលជំរុញដោយកិច្ចសន្យាឆ្លាតវៃ ការផ្ទៀងផ្ទាត់ចំណុចបញ្ចប់ដែលមានមូលដ្ឋានលើការឯកភាពគ្នា ស្រទាប់រក្សាច្រើន និងការបិទបាំងខ្លួនឯងជាបន្តបន្ទាប់ បង្កបញ្ហាប្រឈមយ៉ាងធ្ងន់ធ្ងរសម្រាប់អ្នកការពារ។

ចំណុចសំខាន់ៗសម្រាប់ក្រុមសន្តិសុខ

ក្រុមសន្តិសុខគួរកត់សម្គាល់ថា EtherRAT តំណាងឱ្យការកើនឡើងគួរឱ្យកត់សម្គាល់នៅក្នុងការកេងប្រវ័ញ្ច RSC ដោយប្រែក្លាយវាទៅជាការគំរាមកំហែងជាប់លាប់ និងអាចសម្របខ្លួនបានខ្ពស់ ដែលមានសមត្ថភាពទ្រទ្រង់ការឈ្លានពានរយៈពេលវែង។ ហេដ្ឋារចនាសម្ព័ន្ធបញ្ជា និងគ្រប់គ្រងរបស់វាមានភាពធន់ជាពិសេស ដោយទាញយកអត្ថប្រយោជន៍ពីកិច្ចសន្យាឆ្លាតវៃ Ethereum និងយន្តការឯកភាពគ្នាពហុចំណុចដើម្បីទប់ទល់នឹងការប៉ុនប៉ងលិចលង់ ការដកចេញ និងការរៀបចំចំណុចបញ្ចប់នីមួយៗ។ លើសពីនេះ ទំនាក់ទំនងជិតស្និទ្ធរបស់មេរោគជាមួយយុទ្ធនាការ Contagious Interview បង្ហាញពីការផ្តោតអារម្មណ៍ជាបន្តបន្ទាប់លើគោលដៅអ្នកអភិវឌ្ឍន៍ដែលមានតម្លៃខ្ពស់ ដោយសង្កត់ធ្ងន់លើតម្រូវការសម្រាប់ការប្រុងប្រយ័ត្នខ្ពស់នៅក្នុងសហគមន៍អភិវឌ្ឍន៍ blockchain និង Web3។