EtherRAT ļaunprogrammatūra
Tiek uzskatīts, ka nesen atklāta ar Ziemeļkorejas operatoriem saistīta apdraudējumu kampaņa izmanto kritisko React2Shell (RSC) ievainojamību, lai izvietotu iepriekš neredzētu attālās piekļuves Trojas zirgu, kas pazīstams kā EtherRAT. Šī ļaunprogrammatūra izceļas ar Ethereum viedlīgumu iekļaušanu savā Command-and-Control (C2) darbplūsmā, vairāku noturības slāņu instalēšanu Linux un savas Node.js izpildlaika integrēšanu izvietošanas laikā.
Satura rādītājs
Saites uz notiekošajām operācijām “Lipojošā intervija”
Drošības komandas ir konstatējušas spēcīgas līdzības starp EtherRAT darbību un ilgstošo kampaņu, kas dēvēta par Contagious Interview — uzbrukumu sēriju, kas notiek kopš 2025. gada sākuma un kurā ļaunprogrammatūras piegādei tiek izmantota EtherHiding tehnika.
Šīs operācijas parasti ir vērstas pret blokķēdes un Web3 izstrādātājiem, maskējot ļaunprātīgus nodomus aiz safabricētām darba intervijām, kodēšanas testiem un video novērtējumiem. Ar upuriem parasti sazinās, izmantojot tādas platformas kā LinkedIn, Upwork un Fiverr, kur uzbrucēji izliekas par likumīgiem vervētājiem, kas piedāvā augstvērtīgas darba iespējas.
Pētnieki norāda, ka šis apdraudējumu klasteris ir kļuvis par vienu no produktīvākajiem ļaunprātīgajiem spēkiem npm ekosistēmā, demonstrējot savu spēju iefiltrēties JavaScript balstītās piegādes ķēdēs un kriptovalūtu darbplūsmās.
Sākotnējais pārkāpums: React2Shell izmantošana
Uzbrukuma secība sākas ar CVE-2025-55182 izmantošanu, kas ir kritiska RSC ievainojamība ar perfektu nopietnības pakāpi 10. Izmantojot šo trūkumu, uzbrucēji izpilda Base64 kodētu komandu, kas lejupielādē un aktivizē čaulas skriptu, kas ir atbildīgs par primārā JavaScript implanta sākšanu.
Skripts tiek ielādēts, izmantojot curl, un wget un python3 darbojas kā rezerves metodes. Pirms galvenās slodzes palaišanas tas sagatavo sistēmu, iegūstot Node.js v20.10.0 tieši no nodejs.org, pēc tam ieraksta diskā gan šifrētu datu bloku, gan slēptu JavaScript dropperu. Lai ierobežotu forenzikas pēdas, skripts pēc iestatīšanas pabeigšanas pats sevi attīra un nodod kontroli dropperam.
EtherRAT piegāde: šifrēšana, izpilde un viedais līgums C2
Pilinātāja pamatfunkcija ir vienkārša: atšifrēt EtherRAT lietderīgo slodzi, izmantojot cietkodētu atslēgu, un palaist to ar tikko lejupielādēto Node.js bināro failu.
EtherRAT izcilākā iezīme ir tā paļaušanās uz EtherHiding — metodi, kas ik pēc piecām minūtēm izgūst C2 servera adresi no Ethereum viedā līguma. Tas ļauj operatoriem atjaunināt infrastruktūru acumirklī, pat ja aizsardzības sistēmas traucē esošo domēnu darbību.
Unikāls šīs ieviešanas paņēmiens ir tās uz konsensu balstītā balsošanas sistēma. EtherRAT vienlaikus vaicā deviņus publiskus Ethereum RPC galapunktus, apkopo rezultātus un uzticas vairākuma atgrieztajam C2 URL. Šī pieeja neitralizē vairākas aizsardzības stratēģijas, nodrošinot, ka viens kompromitēts vai manipulēts RPC galapunkts nevar maldināt vai ielauzties botnetā.
Pētnieki iepriekš pamanīja līdzīgu paņēmienu ļaunprātīgās npm pakotnēs colortoolsv2 un mimelib2, kas tika izmantotas lejupielādes komponentu izplatīšanai izstrādātājiem.
Augstas frekvences komandu aptauja un daudzslāņu noturība
Pēc saziņas nodibināšanas ar savu C2 serveri EtherRAT pāriet ātrā aptaujas ciklā, kas darbojas ik pēc 500 milisekundēm. Jebkura atbilde, kas pārsniedz desmit rakstzīmes, tiek interpretēta kā JavaScript un nekavējoties izpildīta apdraudētajā sistēmā.
Ilgtermiņa piekļuve tiek uzturēta, izmantojot piecas noturības metodes, kas nodrošina uzticamību dažādos Linux startēšanas procesos:
Noturības metodes:
- Systemd lietotāja pakalpojums
- XDG automātiskās palaišanas ieraksts
- Cron darbi
- .bashrc modifikācija
- Profila injekcija
Izplatoties vairākos izpildes ceļos, ļaunprogrammatūra turpina darboties pat pēc pārstartēšanas, nodrošinot operatoriem nepārtrauktu piekļuvi.
Pašatjaunināšanas iespējas un obfuskācijas stratēģija
EtherRAT ietver sarežģītu atjaunināšanas procesu: tas nosūta savu pirmkodu uz API galapunktu, saņem modificētu versiju no C2 servera un atkārtoti palaiž sevi ar šo jauno variantu. Lai gan atjauninājums ir funkcionāli identisks, atgrieztā lietderīgā slodze tiek maskēta atšķirīgi, palīdzot implantam izvairīties no statiskās noteikšanas metodēm.
Kods pārklājas ar iepriekšējām JavaScript apdraudējumu saimēm
Turpmāka analīze atklāj, ka daļa EtherRAT šifrētā ielādētāja koplieto modeļus ar BeaverTail — zināmu JavaScript balstītu lejupielādētāju un informācijas zagli, ko izmanto operācijās “Contagious Interview”. Tas pastiprina novērtējumu, ka EtherRAT ir vai nu tiešs pēctecis, vai arī šajā kampaņā izmantoto rīku paplašinājums.
Ietekme uz aizstāvjiem: pāreja uz slepenību un neatlaidību
EtherRAT demonstrē ievērojamu React2Shell izmantošanas evolūciju. Tā vietā, lai koncentrētos tikai uz oportūnistiskām darbībām, piemēram, kriptovalūtu ieguvi vai akreditācijas datu zādzību, šis implants prioritāti piešķir slepenai, ilgtermiņa piekļuvei. Tā viedlīgumu vadīto C2 operāciju, uz konsensu balstītas galapunktu verifikācijas, vairāku noturības slāņu un nepārtrauktas sevis maskēšanas apvienojums rada nopietnu izaicinājumu aizsargātājiem.
Svarīgākie secinājumi drošības komandām
Drošības komandām jāņem vērā, ka EtherRAT rada ievērojamu RSC izmantošanas eskalāciju, pārveidojot to par pastāvīgu un ļoti pielāgojamu apdraudējumu, kas spēj uzturēt ilgtermiņa ielaušanos. Tās komandu un kontroles infrastruktūra ir īpaši noturīga, izmantojot Ethereum viedos līgumus un vairāku galapunktu konsensa mehānismu, lai izturētu ievainojamības mēģinājumus, sistēmu noņemšanu un atsevišķu galapunktu manipulācijas. Turklāt ļaunprogrammatūras ciešā saistība ar kampaņu “Contagious Interview” uzsver pastāvīgu uzmanību augstas vērtības izstrādātāju mērķiem, uzsverot nepieciešamību pēc pastiprinātas modrības blokķēdes un Web3 izstrādātāju kopienās.
