มัลแวร์ EtherRAT

เชื่อกันว่าแคมเปญคุกคามที่เพิ่งถูกค้นพบซึ่งเชื่อมโยงกับผู้ปฏิบัติการชาวเกาหลีเหนือ กำลังใช้ประโยชน์จากช่องโหว่ที่สำคัญอย่าง React2Shell (RSC) เพื่อติดตั้งมัลแวร์ประเภทโทรจันสำหรับการเข้าถึงระยะไกลที่ไม่เคยพบมาก่อน ซึ่งรู้จักกันในชื่อ EtherRAT มัลแวร์นี้มีความโดดเด่นตรงที่มันรวมเอาสัญญาอัจฉริยะของ Ethereum เข้าไว้ในเวิร์กโฟลว์การควบคุมและสั่งการ (C2) ติดตั้งเลเยอร์การคงอยู่หลายชั้นบน Linux และรวมรันไทม์ Node.js ของตัวเองไว้ในระหว่างการติดตั้งด้วย

ลิงก์ไปยังปฏิบัติการ 'สัมภาษณ์แบบแพร่เชื้อ' ที่กำลังดำเนินอยู่

ทีมรักษาความปลอดภัยได้ระบุความคล้ายคลึงกันอย่างมากระหว่างกิจกรรมของ EtherRAT และแคมเปญที่ดำเนินมาอย่างยาวนานที่เรียกว่า Contagious Interview ซึ่งเป็นชุดการโจมตีที่เริ่มมาตั้งแต่ต้นปี 2025 และใช้เทคนิค EtherHiding ในการส่งมัลแวร์

โดยทั่วไปแล้ว การโจรกรรมเหล่านี้จะมุ่งเป้าไปที่นักพัฒนาบล็อกเชนและเว็บ 3 โดยซ่อนเจตนาร้ายไว้เบื้องหลังการสัมภาษณ์งาน การทดสอบเขียนโค้ด และการประเมินผลผ่านวิดีโอที่จัดฉากขึ้น เหยื่อมักจะได้รับการติดต่อผ่านแพลตฟอร์มต่างๆ เช่น LinkedIn, Upwork และ Fiverr ซึ่งผู้โจมตีจะปลอมตัวเป็นบริษัทจัดหางานที่ถูกต้องตามกฎหมาย โดยเสนอโอกาสการจ้างงานที่มีมูลค่าสูง

นักวิจัยตั้งข้อสังเกตว่า กลุ่มภัยคุกคามนี้ได้กลายเป็นหนึ่งในกลุ่มผู้ไม่หวังดีที่มีประสิทธิภาพมากที่สุดในระบบนิเวศของ npm โดยแสดงให้เห็นถึงความสามารถในการแทรกซึมเข้าไปในห่วงโซ่อุปทานที่ใช้ JavaScript และเวิร์กโฟลว์ที่เน้นด้านการเข้ารหัสลับ

การละเมิดครั้งแรก: การโจมตีด้วย React2Shell

ลำดับการโจมตีเริ่มต้นด้วยการใช้ประโยชน์จากช่องโหว่ CVE‑2025‑55182 ซึ่งเป็นช่องโหว่ RSC ที่ร้ายแรงและมีคะแนนความรุนแรงสูงสุดที่ 10 โดยใช้ช่องโหว่นี้ ผู้โจมตีจะเรียกใช้คำสั่งที่เข้ารหัส Base64 เพื่อดาวน์โหลดและเรียกใช้สคริปต์เชลล์ที่รับผิดชอบในการเริ่มต้นการฝังโค้ด JavaScript หลัก

สคริปต์จะถูกดึงมาโดยใช้ curl โดยมี wget และ python3 เป็นวิธีการสำรองข้อมูล ก่อนที่จะเริ่มการทำงานของเพย์โหลดหลัก สคริปต์จะเตรียมระบบโดยการดาวน์โหลด Node.js เวอร์ชัน 20.10.0 จาก nodejs.org โดยตรง จากนั้นจะเขียนข้อมูลที่เข้ารหัสและโค้ด JavaScript ที่ซ่อนอยู่ลงในดิสก์ เพื่อจำกัดร่องรอยการตรวจสอบทางนิติวิทยาศาสตร์ สคริปต์จะลบข้อมูลทั้งหมดหลังจากเสร็จสิ้นการตั้งค่าและส่งการควบคุมไปยังดรอปเปอร์

การส่งมอบ EtherRAT: การเข้ารหัส การดำเนินการ และการควบคุมควบคุมสัญญาอัจฉริยะ (C2)

หน้าที่หลักของโปรแกรมดรอปเปอร์นั้นตรงไปตรงมา คือ ถอดรหัสเพย์โหลด EtherRAT โดยใช้คีย์ที่กำหนดไว้ล่วงหน้า และเรียกใช้งานด้วยไบนารี Node.js ที่ดาวน์โหลดมาใหม่

จุดเด่นของ EtherRAT คือการพึ่งพา EtherHiding ซึ่งเป็นวิธีการดึงที่อยู่เซิร์ฟเวอร์ C2 จากสัญญาอัจฉริยะของ Ethereum ทุกๆ ห้านาที วิธีนี้ช่วยให้ผู้ดำเนินการสามารถอัปเดตโครงสร้างพื้นฐานได้ทันที แม้ว่าผู้ป้องกันจะเข้ามารบกวนโดเมนที่มีอยู่ก็ตาม

จุดเด่นที่ไม่เหมือนใครในการใช้งานนี้คือระบบการลงคะแนนแบบฉันทามติ EtherRAT สอบถามไปยังเอนด์พอยต์ RPC สาธารณะของ Ethereum จำนวน 9 แห่งพร้อมกัน รวบรวมผลลัพธ์ และเชื่อถือ URL C2 ที่ได้รับจากเสียงส่วนใหญ่ วิธีการนี้ทำให้กลยุทธ์การป้องกันหลายอย่างไร้ผล ทำให้มั่นใจได้ว่าเอนด์พอยต์ RPC ที่ถูกบุกรุกหรือถูกดัดแปลงเพียงแห่งเดียวจะไม่สามารถหลอกลวงหรือทำให้บอทเน็ตล่มได้

ก่อนหน้านี้ นักวิจัยได้ตรวจพบเทคนิคที่คล้ายกันในแพ็กเกจ npm ที่เป็นอันตรายอย่าง colortoolsv2 และ mimelib2 ซึ่งใช้ในการแจกจ่ายส่วนประกอบดาวน์โหลดให้กับนักพัฒนา

การสำรวจคำสั่งความถี่สูงและการคงอยู่แบบหลายชั้น

หลังจากสร้างการสื่อสารกับเซิร์ฟเวอร์ C2 ได้แล้ว EtherRAT จะเข้าสู่รอบการตรวจสอบอย่างรวดเร็วทุกๆ 500 มิลลิวินาที การตอบสนองใดๆ ที่เกินสิบตัวอักษรจะถูกตีความว่าเป็น JavaScript และถูกเรียกใช้งานทันทีบนระบบที่ถูกโจมตี

การเข้าถึงในระยะยาวได้รับการรักษาไว้ด้วยเทคนิคการคงอยู่ห้าประการ ซึ่งช่วยเพิ่มความน่าเชื่อถือในกระบวนการเริ่มต้นระบบ Linux ต่างๆ:

วิธีการคงอยู่ของข้อมูล:

• บริการผู้ใช้ Systemd
• รายการเริ่มต้นอัตโนมัติ XDG
• งานโครน
• การแก้ไขไฟล์ .bashrc
• การฉีดโปรไฟล์

ด้วยการแพร่กระจายไปตามเส้นทางการทำงานหลายเส้นทาง มัลแวร์จึงยังคงทำงานต่อไปได้แม้หลังจากรีบูตเครื่อง ทำให้ผู้ใช้งานสามารถเข้าถึงข้อมูลได้อย่างต่อเนื่องโดยไม่ถูกขัดจังหวะ

ความสามารถในการอัปเดตตนเองและกลยุทธ์การปกปิดข้อมูล

EtherRAT มีกระบวนการอัปเดตที่ซับซ้อน: มันส่งซอร์สโค้ดของตัวเองไปยังเอนด์พอยต์ API รับเวอร์ชันที่แก้ไขแล้วจากเซิร์ฟเวอร์ C2 และเริ่มต้นตัวเองใหม่ด้วยเวอร์ชันใหม่นี้ แม้ว่าการอัปเดตจะเหมือนกันทุกประการ แต่ข้อมูลที่ส่งกลับมานั้นถูกเข้ารหัสซ่อนเร้นแตกต่างกัน ซึ่งช่วยให้มัลแวร์หลบเลี่ยงเทคนิคการตรวจจับแบบคงที่ได้

โค้ดมีความซ้ำซ้อนกับตระกูลภัยคุกคาม JavaScript รุ่นก่อนหน้า

จากการวิเคราะห์เพิ่มเติมพบว่า ส่วนต่างๆ ของโปรแกรมโหลดข้อมูลแบบเข้ารหัสของ EtherRAT มีรูปแบบที่คล้ายคลึงกับ BeaverTail ซึ่งเป็นโปรแกรมดาวน์โหลดและขโมยข้อมูลที่ใช้ JavaScript ที่รู้จักกันดีและถูกใช้ในปฏิบัติการ Contagious Interview สิ่งนี้ตอกย้ำการประเมินว่า EtherRAT เป็นโปรแกรมที่พัฒนาต่อยอดหรือต่อยอดมาจากเครื่องมือที่ใช้ในแคมเปญดังกล่าว

ผลกระทบต่อผู้ป้องกัน: การเปลี่ยนแปลงไปสู่การพรางตัวและการคงอยู่อย่างต่อเนื่อง

EtherRAT แสดงให้เห็นถึงวิวัฒนาการที่สำคัญในการโจมตี React2Shell แทนที่จะมุ่งเน้นเฉพาะกิจกรรมฉวยโอกาส เช่น การขุดคริปโตเคอร์เรนซีหรือการขโมยข้อมูลประจำตัว มัลแวร์นี้ให้ความสำคัญกับการเข้าถึงอย่างลับๆ ในระยะยาว การผสมผสานระหว่างการปฏิบัติการควบคุมและสั่งการ (C2) ที่ขับเคลื่อนด้วยสัญญาอัจฉริยะ การตรวจสอบปลายทางแบบอิงฉันทามติ เลเยอร์การคงอยู่หลายชั้น และการปกปิดตัวเองอย่างต่อเนื่อง ทำให้เกิดความท้าทายอย่างมากสำหรับผู้ป้องกัน

ประเด็นสำคัญสำหรับทีมรักษาความปลอดภัย

ทีมรักษาความปลอดภัยควรทราบว่า EtherRAT แสดงถึงการยกระดับการโจมตี RSC อย่างมีนัยสำคัญ ทำให้มันกลายเป็นภัยคุกคามที่คงอยู่และปรับตัวได้สูง สามารถก่อกวนได้ในระยะยาว โครงสร้างพื้นฐานการควบคุมและสั่งการของมันมีความยืดหยุ่นเป็นพิเศษ โดยใช้สัญญาอัจฉริยะของ Ethereum และกลไกฉันทามติแบบหลายปลายทางเพื่อต้านทานความพยายามในการทำลายระบบ การปิดระบบ และการจัดการปลายทางแต่ละจุด นอกจากนี้ ความเกี่ยวข้องอย่างใกล้ชิดของมัลแวร์กับแคมเปญ Contagious Interview ยังเน้นย้ำถึงการมุ่งเป้าไปที่เป้าหมายนักพัฒนาที่มีมูลค่าสูงอย่างต่อเนื่อง ซึ่งเน้นย้ำถึงความจำเป็นในการเฝ้าระวังที่เข้มงวดมากขึ้นในชุมชนการพัฒนาบล็อกเชนและ Web3