Zlonamerna programska oprema EtherRAT
Nedavno odkrita kampanja groženj, povezana s severnokorejskimi operaterji, naj bi izkoriščala kritično ranljivost React2Shell (RSC) za namestitev prej nevidnega trojanca za oddaljeni dostop, znanega kot EtherRAT. Ta zlonamerna programska oprema izstopa po tem, da v svoj delovni tok Command-and-Control (C2) vključuje pametne pogodbe Ethereum, namešča več plasti vzdržnosti v Linuxu in med namestitvijo združuje lastno izvajalno okolje Node.js.
Kazalo
Povezave do tekočih operacij »Nalezljiv intervju«
Varnostne ekipe so odkrile velike podobnosti med aktivnostjo EtherRAT in dolgotrajno kampanjo, imenovano Contagious Interview, vrsto napadov, ki so aktivni od začetka leta 2025 in uporabljajo tehniko EtherHiding za dostavo zlonamerne programske opreme.
Te operacije so običajno usmerjene na razvijalce veriženja blokov in Web3, tako da prikrivajo zlonamerne namere za izmišljenimi razgovori za službo, testi kodiranja in video ocenami. Žrtve običajno stopijo v stik prek platform, kot so LinkedIn, Upwork in Fiverr, kjer se napadalci izdajajo za legitimne zaposlovalce, ki ponujajo visokokakovostne zaposlitvene priložnosti.
Raziskovalci ugotavljajo, da je ta skupina groženj postala ena najbolj produktivnih zlonamernih sil znotraj ekosistema npm, kar dokazuje njeno sposobnost infiltriranja v dobavne verige, ki temeljijo na JavaScriptu, in delovne procese, osredotočene na kriptovalute.
Začetna kršitev: izkoriščanje React2Shell
Zaporedje napadov se začne z izkoriščanjem CVE‑2025‑55182, kritične ranljivosti RSC z oceno resnosti 10. Z uporabo te napake napadalci izvedejo ukaz, kodiran v Base64, ki prenese in sproži skript lupine, odgovoren za zagon primarnega vsadka JavaScript.
Skript se pridobi prek curla, pri čemer wget in python3 delujeta kot rezervni metodi. Pred zagonom glavnega koristnega tovora sistem pripravi tako, da pridobi Node.js v20.10.0 neposredno z nodejs.org, nato pa na disk zapiše tako šifriran podatkovni blob kot tudi zakriti JavaScript dropper. Da bi omejil forenzične sledi, skript po končani nastavitvi počisti za seboj in preda nadzor dropperju.
Dostava EtherRAT: Šifriranje, izvajanje in pametna pogodba C2
Osnovna funkcija spuščalnika je preprosta: dešifrirati koristni tovor EtherRAT s trdo kodiranim ključem in ga zagnati s sveže preneseno binarno datoteko Node.js.
Izjemna lastnost EtherRAT-a je njegova odvisnost od EtherHidinga, metode, ki vsakih pet minut pridobi naslov strežnika C2 iz pametne pogodbe Ethereum. To operaterjem omogoča sproti posodabljanje infrastrukture, tudi če branilci motijo obstoječe domene.
Edinstvena posebnost te implementacije je sistem glasovanja, ki temelji na soglasju. EtherRAT hkrati poizveduje devet javnih končnih točk RPC Ethereuma, zbira rezultate in zaupa URL-ju C2, ki ga vrne večina. Ta pristop nevtralizira več obrambnih strategij in zagotavlja, da ena ogrožena ali manipulirana končna točka RPC ne more zavajati ali vdreti v botnet.
Raziskovalci so podobno tehniko že prej opazili v zlonamernih npm paketih colortoolsv2 in mimelib2, ki so bili uporabljeni za distribucijo komponent za prenos razvijalcem.
Visokofrekvenčno anketiranje ukazov in večplastna obstojnost
Po vzpostavitvi komunikacije s strežnikom C2 EtherRAT vstopi v hiter cikel anketiranja, ki se izvaja vsakih 500 milisekund. Vsak odgovor, ki presega deset znakov, se interpretira kot JavaScript in se v ogroženem sistemu takoj izvede.
Dolgoročni dostop se vzdržuje s petimi tehnikami vzdrževanja, ki povečujejo zanesljivost v različnih procesih zagona Linuxa:
Metode vztrajnosti:
- Uporabniška storitev Systemd
- Vnos samodejnega zagona XDG
- Cron opravila
- Sprememba .bashrc
- Vbrizgavanje profila
Z razširjanjem po več izvajalnih poteh se zlonamerna programska oprema še naprej izvaja tudi po ponovnem zagonu, kar zagotavlja nemoten dostop za operaterje.
Zmožnosti samodejnega posodabljanja in strategija zakrivanja
EtherRAT vključuje dovršen postopek posodabljanja: pošlje svojo izvorno kodo končni točki API-ja, prejme spremenjeno različico s strežnika C2 in se znova zažene s to novo različico. Čeprav je posodobitev funkcionalno enaka, je vrnjeni koristni tovor drugače zakrit, kar pomaga vsadku, da se izogne tehnikam zaznavanja statične elektrike.
Koda se prekriva s prejšnjimi družinami groženj JavaScript
Nadaljnja analiza razkriva, da deli šifriranega nalagalnika EtherRAT delijo vzorce z BeaverTailom, znanim programom za prenos in krajo informacij, ki temelji na JavaScriptu in se uporablja v operacijah Contagious Interview. To potrjuje oceno, da je EtherRAT bodisi neposredni naslednik bodisi razširitev orodij, uporabljenih v tej kampanji.
Posledice za branilce: premik k prikritosti in vztrajnosti
EtherRAT kaže na pomemben razvoj v izkoriščanju React2Shella. Namesto da bi se osredotočal izključno na oportunistične dejavnosti, kot sta rudarjenje kriptovalut ali kraja poverilnic, ta vsadek daje prednost prikritemu, dolgoročnemu dostopu. Njegova mešanica operacij C2, ki jih poganjajo pametne pogodbe, preverjanja končnih točk na podlagi soglasja, več plasti vztrajnosti in nenehnega samozakrivanja predstavlja resen izziv za branilce.
Ključne ugotovitve za varnostne ekipe
Varnostne ekipe bi morale upoštevati, da EtherRAT predstavlja znatno stopnjevanje izkoriščanja RSC in ga spreminja v vztrajno in zelo prilagodljivo grožnjo, ki je sposobna vzdrževati dolgoročne vdore. Njegova infrastruktura za upravljanje in nadzor je še posebej odporna, saj izkorišča pametne pogodbe Ethereum in mehanizem soglasja med več končnimi točkami, da se upre poskusom vdora, ustavitvi in manipulaciji posameznih končnih točk. Poleg tega tesna povezava zlonamerne programske opreme s kampanjo Contagious Interview poudarja nenehno osredotočenost na visoko vrednostne cilje razvijalcev in poudarja potrebo po večji budnosti znotraj skupnosti za razvoj veriženja blokov in Web3.
