Cotație de reducere pentru licențe multiple
Baza de date pentru amenințări Instrumente de administrare la distanță Programe malware EtherRAT

Programe malware EtherRAT

Până în Mezo în Instrumente de administrare la distanță, Amenințare persistentă avansată (APT)
Tradu in:

Se crede că o campanie de amenințări descoperită recent, legată de operatori nord-coreeni, exploatează vulnerabilitatea critică React2Shell (RSC) pentru a implementa un troian de acces la distanță nevăzut anterior, cunoscut sub numele de EtherRAT. Acest malware se remarcă prin încorporarea contractelor inteligente Ethereum în fluxul său de lucru Command-and-Control (C2), instalarea mai multor straturi de persistență pe Linux și includerea propriului runtime Node.js în timpul implementării.

Legături către operațiunile „Interviu contagios” în curs de desfășurare

Echipele de securitate au identificat asemănări puternice între activitatea EtherRAT și campania de lungă durată numită Contagious Interview, o serie de atacuri active de la începutul anului 2025 care utilizează tehnica EtherHiding pentru distribuirea de programe malware.

Aceste operațiuni vizează de obicei dezvoltatorii blockchain și Web3, maschând intențiile rău intenționate în spatele unor interviuri de angajare, teste de codare și evaluări video fabricate. Victimele sunt de obicei contactate prin intermediul unor platforme precum LinkedIn, Upwork și Fiverr, unde atacatorii se dau drept recrutori legitimi care oferă oportunități de angajare de mare valoare.

Cercetătorii observă că acest grup de amenințări a devenit una dintre cele mai productive forțe malițioase din ecosistemul npm, demonstrându-și abilitatea de a infiltra lanțurile de aprovizionare bazate pe JavaScript și fluxurile de lucru axate pe criptomonede.

Inițiativa încălcare: Exploatarea React2Shell

Secvența de atac începe cu exploatarea vulnerabilității CVE-2025-55182, o vulnerabilitate RSC critică cu un scor de severitate perfect de 10. Folosind această vulnerabilitate, atacatorii execută o comandă codificată în Base64 care descarcă și declanșează un script shell responsabil pentru inițierea implantării principale JavaScript.

Scriptul este preluat prin curl, wget și python3 acționând ca metode de rezervă. Înainte de a lansa sarcina principală, acesta pregătește sistemul prin achiziționarea Node.js v20.10.0 direct de la nodejs.org, apoi scrie pe disc atât un blob de date criptat, cât și un dropper JavaScript ascuns. Pentru a limita urmele criminalistice, scriptul se curăță după finalizarea configurării și predă controlul dropper-ului.

Livrarea EtherRAT: Criptare, Executare și Contract Smart C2

Funcția principală a dropper-ului este simplă: decriptează sarcina utilă EtherRAT folosind o cheie hard-coded și lansează-l cu fișierul binar Node.js proaspăt descărcat.

Caracteristica principală a EtherRAT este dependența sa de EtherHiding, o metodă care preia adresa serverului C2 dintr-un contract inteligent Ethereum la fiecare cinci minute. Acest lucru permite operatorilor să actualizeze infrastructura din mers, chiar dacă apărătorii perturbă domeniile existente.

O variantă unică a acestei implementări este sistemul său de vot bazat pe consens. EtherRAT interoghează simultan nouă endpoint-uri RPC publice Ethereum, colectează rezultatele și are încredere în URL-ul C2 returnat de majoritate. Această abordare neutralizează mai multe strategii defensive, asigurându-se că un endpoint RPC compromis sau manipulat nu poate induce în eroare sau bloca botnet-ul.

Cercetătorii au observat anterior o tehnică similară în pachetele npm malițioase colortoolsv2 și mimelib2, care erau folosite pentru a distribui componente de descărcare dezvoltatorilor.

Interogare de comenzi de înaltă frecvență și persistență multi-strat

După stabilirea comunicării cu serverul său C2, EtherRAT intră într-un ciclu rapid de interogare care rulează la fiecare 500 de milisecunde. Orice răspuns care depășește zece caractere este interpretat ca JavaScript și executat instantaneu pe sistemul compromis.

Accesul pe termen lung este menținut prin cinci tehnici de persistență, sporind fiabilitatea în diverse procese de pornire Linux:

Metode de persistență:

  • Serviciul utilizator Systemd
  • Intrare cu pornire automată XDG
  • Lucrări cron
  • Modificare .bashrc
  • Injecție de profil

Prin răspândirea pe mai multe căi de execuție, malware-ul continuă să ruleze chiar și după reporniri, asigurând acces neîntrerupt pentru operatori.

Capacități de autoactualizare și strategie de ofuscare

EtherRAT include un proces sofisticat de actualizare: își trimite propriul cod sursă către un endpoint API, primește o versiune modificată de la serverul C2 și se relansează cu această nouă variantă. Deși actualizarea este identică din punct de vedere funcțional, sarcina utilă returnată este ofuscată diferit, ajutând implantul să evite tehnicile de detectare statică.

Suprapuneri de cod cu familiile anterioare de amenințări JavaScript

Analize ulterioare arată că anumite părți ale încărcătorului criptat al EtherRAT partajează tipare cu BeaverTail, un cunoscut instrument de descărcare bazat pe JavaScript și furt de informații utilizat în operațiunile de interviu contagios. Acest lucru întărește evaluarea conform căreia EtherRAT este fie un succesor direct, fie o extensie a instrumentelor utilizate în acea campanie.

Implicații pentru apărători: o trecere către ascundere și persistență

EtherRAT demonstrează o evoluție semnificativă în exploatarea React2Shell. În loc să se concentreze exclusiv pe activități oportuniste precum cryptomining-ul sau furtul de acreditări, acest implant prioritizează accesul ascuns, pe termen lung. Combinația sa de operațiuni C2 bazate pe contracte inteligente, verificarea endpoint-urilor bazată pe consens, straturi multiple de persistență și auto-obfuscare continuă reprezintă o provocare serioasă pentru apărători.

Concluzii cheie pentru echipele de securitate

Echipele de securitate ar trebui să ia în considerare faptul că EtherRAT reprezintă o escaladare semnificativă în exploatarea RSC, transformându-l într-o amenințare persistentă și extrem de adaptabilă, capabilă să susțină intruziuni pe termen lung. Infrastructura sa de comandă și control este deosebit de rezistentă, utilizând contracte inteligente Ethereum și un mecanism de consens multi-endpoint pentru a rezista tentativelor de sinkholing, takedown-urilor și manipulării endpoint-urilor individuale. În plus, asocierea strânsă a malware-ului cu campania Contagious Interview evidențiază o concentrare continuă asupra dezvoltatorilor cu valoare ridicată, subliniind necesitatea unei vigilențe sporite în cadrul comunităților de dezvoltare blockchain și Web3.

Trending

Cerere de anulare a contului dvs. de webmail prin...

phishing, Spam
Infractorii cibernetici continuă să creeze mesaje înșelătoare care imită notificările de rutină ale serviciilor, iar escrocheria „Solicitare de anulare a contului dvs. de webmail” este un exemplu clar. Deși aceste e-mailuri pot părea urgente sau oficiale, ele fac parte dintr-o schemă de phishing concepută pentru a colecta informații sensibile. Nu sunt conectate la nicio companie, organizație...

Cele mai văzute

Se încarcă...