Скидка на мультилицензию
База данных угроз Инструменты удаленного администрирования Вредоносная программа EtherRAT

Вредоносная программа EtherRAT

К Mezo году в Инструменты удаленного администрирования, Расширенная постоянная угроза (APT) году
Перевести на:

Недавно обнаруженная мошенническая кампания, связанная с северокорейскими операторами, предположительно использует критическую уязвимость React2Shell (RSC) для развертывания ранее неизвестного трояна удаленного доступа, известного как EtherRAT. Это вредоносное ПО выделяется тем, что интегрирует смарт-контракты Ethereum в свой процесс управления и контроля (C2), устанавливает несколько уровней постоянного хранения данных в Linux и включает собственную среду выполнения Node.js во время развертывания.

Ссылки на текущие операции «Заразное интервью»

Группы специалистов по безопасности выявили сильное сходство между активностью EtherRAT и длительной кампанией, известной как Contagious Interview, — серией атак, которая ведется с начала 2025 года и использует технику EtherHiding для распространения вредоносного ПО.

Эти операции обычно нацелены на разработчиков блокчейна и Web3, которые маскируют свои злонамеренные намерения под сфабрикованные собеседования, тесты по программированию и видеооценки. Жертвами обычно связываются через такие платформы, как LinkedIn, Upwork и Fiverr, где злоумышленники выдают себя за легитимных рекрутеров, предлагающих высокооплачиваемую работу.

Исследователи отмечают, что этот кластер угроз стал одной из самых эффективных вредоносных сил в экосистеме npm, демонстрируя свое умение проникать в цепочки поставок на основе JavaScript и рабочие процессы, ориентированные на криптографию.

Первоначальное нарушение безопасности: эксплуатация React2Shell

Последовательность атаки начинается с эксплуатации уязвимости CVE‑2025‑55182, критической уязвимости RSC с идеальным показателем серьезности 10. Используя эту уязвимость, злоумышленники выполняют команду в кодировке Base64, которая загружает и запускает скрипт оболочки, ответственный за инициализацию основного JavaScript-внедрения.

Скрипт загружается с помощью curl, а wget и python3 используются в качестве резервных методов. Перед запуском основной полезной нагрузки он подготавливает систему, получая Node.js версии 20.10.0 непосредственно с nodejs.org, а затем записывает на диск зашифрованный блок данных и замаскированный JavaScript-дроппер. Чтобы минимизировать следы для криминалистического анализа, скрипт очищает систему после завершения настройки и передает управление дропперу.

Внедрение EtherRAT: шифрование, выполнение и управление смарт-контрактами.

Основная функция дроппера проста: расшифровать полезную нагрузку EtherRAT с помощью жестко закодированного ключа и запустить его с помощью только что загруженного бинарного файла Node.js.

Главная особенность EtherRAT — использование EtherHiding, метода, который каждые пять минут получает адрес C2-сервера из смарт-контракта Ethereum. Это позволяет операторам обновлять инфраструктуру на лету, даже если защитники нарушают работу существующих доменов.

Уникальной особенностью этой реализации является система голосования, основанная на консенсусе. EtherRAT одновременно запрашивает данные у девяти общедоступных RPC-терминалов Ethereum, собирает результаты и доверяет URL-адресу C2, возвращенному большинством. Такой подход нейтрализует несколько защитных стратегий, гарантируя, что ни один скомпрометированный или измененный RPC-терминал не сможет ввести в заблуждение или заблокировать ботнет.

Ранее исследователи обнаружили аналогичную технику во вредоносных npm-пакетах colortoolsv2 и mimelib2, которые использовались для распространения компонентов загрузчика среди разработчиков.

Высокочастотный опрос команд и многоуровневая защита данных

После установления связи со своим C2-сервером EtherRAT переходит в цикл быстрого опроса, выполняющийся каждые 500 миллисекунд. Любой ответ, превышающий десять символов, интерпретируется как JavaScript и мгновенно выполняется в скомпрометированной системе.

Долгосрочный доступ обеспечивается пятью методами сохранения данных, что повышает надежность работы различных процессов запуска Linux:

Методы обеспечения устойчивости:

  • служба пользователей Systemd
  • Запись автозапуска XDG
  • Задания Cron
  • Изменение файла .bashrc
  • Введение профиля

Распространяясь по нескольким путям выполнения, вредоносная программа продолжает работать даже после перезагрузки, обеспечивая бесперебойный доступ для операторов.

Возможности самообновления и стратегия обфускации

EtherRAT включает в себя сложный процесс обновления: он отправляет свой исходный код на конечную точку API, получает модифицированную версию от сервера управления и перезапускается с этим новым вариантом. Хотя обновление функционально идентично, возвращаемая полезная нагрузка обфусцирована по-другому, что помогает импланту обойти статические методы обнаружения.

Код пересекается с предыдущими семействами угроз JavaScript.

Дальнейший анализ показывает, что некоторые части зашифрованного загрузчика EtherRAT имеют общие черты с BeaverTail, известным загрузчиком и программой для кражи информации на основе JavaScript, используемой в операциях Contagious Interview. Это подтверждает предположение, что EtherRAT является либо прямым преемником, либо расширением инструментов, использованных в этой кампании.

Последствия для защитников: переход к скрытности и настойчивости.

EtherRAT демонстрирует значительную эволюцию в использовании уязвимостей React2Shell. Вместо того чтобы сосредотачиваться исключительно на оппортунистических действиях, таких как криптомайнинг или кража учетных данных, этот имплант отдает приоритет скрытому, долгосрочному доступу. Его сочетание операций управления и контроля на основе смарт-контрактов, проверки конечных точек на основе консенсуса, нескольких уровней персистентности и непрерывной самообфускации представляет серьезную проблему для защитников.

Основные выводы для команд безопасности

Группам специалистов по безопасности следует учитывать, что EtherRAT представляет собой значительную эскалацию эксплуатации уязвимостей RSC, превращаясь в устойчивую и легко адаптирующуюся угрозу, способную поддерживать долгосрочные вторжения. Его инфраструктура управления и контроля особенно устойчива, используя смарт-контракты Ethereum и механизм консенсуса на нескольких конечных точках, что позволяет противостоять попыткам перехвата, блокировке и манипулированию отдельными конечными точками. Кроме того, тесная связь вредоносного ПО с кампанией Contagious Interview подчеркивает постоянное внимание к высокоприоритетным целям разработчиков, что указывает на необходимость повышенной бдительности в сообществах разработчиков блокчейна и Web3.

В тренде

Corechainedge.com

Мошеннические сайты, Рекламное ПО, Браузерные хайджекеры
Для обеспечения безопасности в интернете необходима постоянная бдительность, поскольку бесчисленные страницы имитируют легитимные сервисы, незаметно манипулируя посетителями. Один из таких примеров...

Мошенничество с просьбой отменить вашу учетную...

Фишинг, Спам
Киберпреступники продолжают создавать обманные сообщения, имитирующие обычные уведомления об услугах, и мошенническая схема «Запрос на отмену вашей учетной записи веб-почты» — яркий тому пример. Хотя эти электронные письма могут выглядеть срочными или официальными, они являются частью фишинговой схемы, разработанной для сбора конфиденциальной информации. Они не связаны ни с какими законными...

Ptifirelaria.com

Мошеннические сайты, Рекламное ПО, Браузерные хайджекеры
Крайне важно сохранять бдительность при пользовании интернетом, поскольку бесчисленное множество мошеннических страниц создано для того, чтобы вводить посетителей в заблуждение, провоцировать...

Наиболее просматриваемые

Загрузка...