EtherRAT kenkėjiška programa
Manoma, kad neseniai atskleista su Šiaurės Korėjos operatoriais susijusi grėsmės kampanija išnaudoja kritinę „React2Shell“ (RSC) pažeidžiamumą, kad dislokuotų anksčiau nematytą nuotolinės prieigos Trojos arklį, vadinamą „EtherRAT“. Ši kenkėjiška programa išsiskiria tuo, kad į savo „Command-and-Control“ (C2) darbo eigą įtraukia išmaniąsias „Ethereum“ sutartis, „Linux“ sistemoje įdiegia kelis nuoseklumo sluoksnius ir diegimo metu sujungia savo „Node.js“ vykdymo aplinką.
Turinys
Nuorodos į vykdomas „užkrečiamųjų pokalbių“ operacijas
Saugumo komandos nustatė didelių panašumų tarp „EtherRAT“ veiklos ir ilgai trunkančios kampanijos „Contagious Interview“ – atakų serijos, vykdomos nuo 2025 m. pradžios ir naudojant „EtherHiding“ techniką kenkėjiškoms programoms platinti.
Šios operacijos paprastai nukreiptos į blokų grandinės ir „Web3“ kūrėjus, maskuojant kenkėjiškus ketinimus po sufabrikuotais darbo pokalbiais, programavimo testais ir vaizdo įrašų vertinimais. Su aukomis paprastai susisiekiama per tokias platformas kaip „LinkedIn“, „Upwork“ ir „Fiverr“, kur užpuolikai apsimetinėja teisėtais verbuotojais, siūlančiais aukštos vertės darbo galimybes.
Tyrėjai pastebi, kad šis grėsmių klasteris tapo viena produktyviausių kenkėjiškų jėgų npm ekosistemoje, demonstruodamas savo gebėjimą infiltruotis į „JavaScript“ pagrįstas tiekimo grandines ir kriptovaliutomis pagrįstas darbo eigas.
Pradinis pažeidimas: „React2Shell“ išnaudojimas
Atakų seka prasideda išnaudojant CVE-2025-55182 – kritinę RSC pažeidžiamumą, kurio optimalus pavojingumo balas yra 10. Pasinaudodami šiuo trūkumu, užpuolikai vykdo „Base64“ užkoduotą komandą, kuri atsisiunčia ir paleidžia apvalkalo scenarijų, atsakingą už pagrindinio „JavaScript“ implanto inicijavimą.
Scenarijus gaunamas per „curl“, o atsarginiais metodais veikia „wget“ ir „python3“. Prieš paleidžiant pagrindinę apkrovą, sistema paruošiama įsigyjant „Node.js v20.10.0“ tiesiai iš „nodejs.org“, tada į diską įrašoma ir užšifruota duomenų grupė, ir paslėptas „JavaScript“ įskiepis. Siekiant apriboti teismo ekspertizės pėdsakus, scenarijus, baigus sąranką, pats save išvalo ir perduoda valdymą įskiepiui.
„EtherRAT“ pristatymas: šifravimas, vykdymas ir išmanioji sutartis C2
Pagrindinė lašintuvo funkcija yra paprasta: iššifruoti „EtherRAT“ naudingąją apkrovą naudojant užkoduotą raktą ir paleisti ją su ką tik atsisiųstu „Node.js“ dvejetainiu failu.
Išskirtinė „EtherRAT“ savybė yra ta, kad ji naudoja „EtherHiding“ – metodą, kuris kas penkias minutes nuskaito C2 serverio adresą iš „Ethereum“ išmaniosios sutarties. Tai leidžia operatoriams atnaujinti infrastruktūrą operatyviai, net jei gynėjai sutrikdo esamų domenų veiklą.
Unikalus šio įgyvendinimo aspektas – bendru sutarimu pagrįsta balsavimo sistema. „EtherRAT“ vienu metu pateikia užklausas devyniems viešiems „Ethereum RPC“ galiniams taškams, renka rezultatus ir pasitiki daugumos pateiktu C2 URL. Šis metodas neutralizuoja kelias gynybines strategijas, užtikrindamas, kad vienas pažeistas ar manipuliuojamas RPC galinis taškas negalėtų suklaidinti ar užgrobti botneto.
Tyrėjai anksčiau pastebėjo panašią techniką kenkėjiškuose npm paketuose „colortoolsv2“ ir „mimelib2“, kurie buvo naudojami atsisiuntimo komponentams platinti kūrėjams.
Aukšto dažnio komandų apklausa ir daugiasluoksnis išlikimas
Užmezgęs ryšį su C2 serveriu, „EtherRAT“ pradeda greitą apklausos ciklą, kuris vyksta kas 500 milisekundžių. Bet koks atsakymas, ilgesnis nei dešimt simbolių, interpretuojamas kaip „JavaScript“ kodas ir akimirksniu vykdomas pažeistoje sistemoje.
Ilgalaikė prieiga palaikoma naudojant penkis duomenų išsaugojimo metodus, kurie užtikrina patikimumą įvairiuose „Linux“ paleidimo procesuose:
Patvarumo metodai:
- Sisteminio vartotojo paslauga
- XDG automatinio paleidimo įrašas
- Cron darbai
- .bashrc modifikacija
- Profilio injekcija
Kenkėjiška programa, pasklidusi keliais vykdymo keliais, toliau veikia net ir po perkrovimo, užtikrindama nepertraukiamą prieigą operatoriams.
Savaime atsinaujinančios galimybės ir užmaskavimo strategija
„EtherRAT“ turi sudėtingą atnaujinimo procesą: jis siunčia savo šaltinio kodą į API galinį tašką, gauna modifikuotą versiją iš C2 serverio ir iš naujo paleidžia save su šiuo nauju variantu. Nors atnaujinimas yra funkciškai identiškas, grąžinama apkrova yra kitaip užmaskuota, todėl implantas gali išvengti statinių aptikimo metodų.
Kodas sutampa su ankstesnėmis „JavaScript“ grėsmių šeimomis
Tolesnė analizė atskleidžia, kad kai kurios „EtherRAT“ užšifruoto įkroviklio dalys bendrina šablonus su „BeaverTail“ – žinoma „JavaScript“ pagrindu sukurta atsisiuntimo ir informacijos vagimo programa, naudojama užkrečiamųjų interviu operacijose. Tai sustiprina vertinimą, kad „EtherRAT“ yra arba tiesioginis toje kampanijoje naudotų įrankių įpėdinis, arba jų išplėtimas.
Poveikis gynėjams: poslinkis link slaptumo ir atkaklumo
„EtherRAT“ demonstruoja reikšmingą „React2Shell“ išnaudojimo evoliuciją. Užuot sutelkęs dėmesį vien į oportunistines veiklas, tokias kaip kriptovaliutų kasimas ar kredencialų vagystė, šis implantas teikia pirmenybę slaptai, ilgalaikei prieigai. Išmaniųjų sutarčių pagrindu veikiančių C2 operacijų, sutarimu pagrįsto galinių taškų patvirtinimo, kelių duomenų išsaugojimo sluoksnių ir nuolatinio savęs klaidinimo derinys kelia rimtą iššūkį gynėjams.
Svarbiausios išvados saugumo komandoms
Saugumo komandos turėtų atkreipti dėmesį, kad „EtherRAT“ kelia didelį RSC išnaudojimo padidėjimą, paversdamas jį nuolatine ir labai prisitaikančia grėsme, galinčia palaikyti ilgalaikius įsilaužimus. Jos valdymo ir kontrolės infrastruktūra yra ypač atspari, pasitelkdama „Ethereum“ išmaniąsias sutartis ir kelių galinių taškų konsensuso mechanizmą, kad atlaikytų įsilaužimo bandymus, pašalinimus ir atskirų galinių taškų manipuliavimą. Be to, glaudus kenkėjiškos programos ryšys su „Contagious Interview“ kampanija pabrėžia nuolatinį dėmesį didelės vertės kūrėjų taikiniams, pabrėždamas didesnio budrumo poreikį blokų grandinės ir „Web3“ kūrėjų bendruomenėse.
