EtherRAT Kötü Amaçlı Yazılımı
Kuzey Koreli operatörlerle bağlantılı olduğu düşünülen ve yakın zamanda ortaya çıkarılan bir tehdit kampanyasının, daha önce görülmemiş bir uzaktan erişim truva atı olan EtherRAT'ı yaymak için kritik React2Shell (RSC) güvenlik açığından yararlandığı tahmin ediliyor. Bu kötü amaçlı yazılım, Komuta ve Kontrol (C2) iş akışına Ethereum akıllı sözleşmelerini entegre etmesi, Linux'a birden fazla kalıcılık katmanı kurması ve dağıtım sırasında kendi Node.js çalışma ortamını paketlemesiyle dikkat çekiyor.
Devam Eden 'Bulaşıcı Röportaj' Operasyonlarına Bağlantılar
Güvenlik ekipleri, EtherRAT faaliyetleri ile 2025 başlarından beri aktif olan ve kötü amaçlı yazılım dağıtımı için EtherHiding tekniğini kullanan, "Bulaşıcı Görüşme" olarak adlandırılan uzun süreli saldırı kampanyası arasında güçlü benzerlikler tespit etti.
Bu operasyonlar genellikle kötü niyetlerini uydurma iş görüşmeleri, kodlama testleri ve video değerlendirmeleriyle gizleyerek blockchain ve Web3 geliştiricilerini hedef almaktadır. Kurbanlar genellikle LinkedIn, Upwork ve Fiverr gibi platformlar aracılığıyla iletişime geçilmekte olup, saldırganlar yüksek değerli iş fırsatları sunan meşru işe alım uzmanları gibi davranmaktadır.
Araştırmacılar, bu tehdit kümesinin npm ekosistemi içindeki en üretken kötü amaçlı güçlerden biri haline geldiğini ve JavaScript tabanlı tedarik zincirlerine ve kripto odaklı iş akışlarına sızma becerisini gösterdiğini belirtiyor.
İlk Saldırı: React2Shell İstismarı
Saldırı dizisi, mükemmel 10 şiddet puanına sahip kritik bir RSC güvenlik açığı olan CVE-2025-55182'nin istismar edilmesiyle başlar. Saldırganlar bu güvenlik açığını kullanarak, birincil JavaScript kötü amaçlı yazılımını başlatmaktan sorumlu bir kabuk betiğini indiren ve tetikleyen Base64 kodlu bir komut yürütürler.
Komut dosyası curl aracılığıyla indirilir; wget ve python3 ise yedek yöntemler olarak kullanılır. Ana yükü başlatmadan önce, nodejs.org adresinden doğrudan Node.js v20.10.0'ı edinerek sistemi hazırlar, ardından hem şifrelenmiş bir veri bloğunu hem de gizlenmiş bir JavaScript dropper'ı diske yazar. Adli izleri sınırlamak için, komut dosyası kurulum tamamlandıktan sonra kendini temizler ve kontrolü dropper'a devreder.
EtherRAT Teslimatı: Şifreleme, Yürütme ve Akıllı Sözleşme C2
Dropper'ın temel işlevi basittir: önceden tanımlanmış bir anahtar kullanarak EtherRAT yükünün şifresini çözmek ve yeni indirilen Node.js ikili dosyasıyla çalıştırmak.
EtherRAT'ın en belirgin özelliği, her beş dakikada bir Ethereum akıllı sözleşmesinden C2 sunucu adresini alan EtherHiding yöntemine dayanmasıdır. Bu, operatörlerin, savunmacılar mevcut alan adlarını bozsa bile altyapıyı anında güncellemelerine olanak tanır.
Bu uygulamanın benzersiz bir özelliği, fikir birliğine dayalı oylama sistemidir. EtherRAT, aynı anda dokuz halka açık Ethereum RPC uç noktasına sorgu gönderir, sonuçları toplar ve çoğunluk tarafından döndürülen C2 URL'sine güvenir. Bu yaklaşım, çeşitli savunma stratejilerini etkisiz hale getirerek, tehlikeye atılmış veya manipüle edilmiş bir RPC uç noktasının botnet'i yanıltmasını veya çökertmesini engeller.
Araştırmacılar daha önce benzer bir tekniği, geliştiricilere indirme bileşenleri dağıtmak için kullanılan kötü amaçlı npm paketleri colortoolsv2 ve mimelib2'de tespit etmişti.
Yüksek Frekanslı Komut Sorgulama ve Çok Katmanlı Kalıcılık
C2 sunucusuyla iletişimi kurduktan sonra EtherRAT, her 500 milisaniyede bir çalışan hızlı bir yoklama döngüsüne girer. On karakteri aşan herhangi bir yanıt JavaScript olarak yorumlanır ve ele geçirilen sistemde anında yürütülür.
Uzun süreli erişim, çeşitli Linux başlatma süreçlerinde güvenilirliği artıran beş kalıcılık tekniği aracılığıyla sağlanır:
Devamlılık Yöntemleri:
- Systemd kullanıcı hizmeti
- XDG otomatik başlatma girişi
- Cron işleri
- .bashrc dosyasında değişiklik
- Profil enjeksiyonu
Kötü amaçlı yazılım, birden fazla yürütme yoluna yayılarak, sistem yeniden başlatıldıktan sonra bile çalışmaya devam eder ve operatörler için kesintisiz erişim sağlar.
Kendini Güncelleme Yetenekleri ve Gizleme Stratejisi
EtherRAT, gelişmiş bir güncelleme süreci içerir: kendi kaynak kodunu bir API uç noktasına gönderir, C2 sunucusundan değiştirilmiş bir sürüm alır ve bu yeni varyantla kendini yeniden başlatır. Güncelleme işlevsel olarak aynı olsa da, geri dönen yük farklı şekilde gizlenmiştir; bu da kötü amaçlı yazılımın statik tespit tekniklerinden kaçmasına yardımcı olur.
Kod, önceki JavaScript tehdit aileleriyle örtüşüyor.
Daha detaylı analizler, EtherRAT'ın şifreli yükleyicisinin bazı bölümlerinin, Contagious Interview operasyonlarında kullanılan bilinen bir JavaScript tabanlı indirme ve bilgi çalma aracı olan BeaverTail ile benzer kalıplar taşıdığını ortaya koymaktadır. Bu durum, EtherRAT'ın bu kampanyada kullanılan araçların doğrudan bir halefi veya uzantısı olduğu değerlendirmesini güçlendirmektedir.
Savunmacılar İçin Çıkarımlar: Gizlilik ve Azim Yönünde Bir Değişim
EtherRAT, React2Shell'in istismarında önemli bir evrimi göstermektedir. Kripto para madenciliği veya kimlik bilgilerinin çalınması gibi fırsatçı faaliyetlere odaklanmak yerine, bu kötü amaçlı yazılım gizli ve uzun vadeli erişime öncelik vermektedir. Akıllı sözleşme tabanlı C2 işlemleri, konsensüs tabanlı uç nokta doğrulaması, çoklu kalıcılık katmanları ve sürekli kendi kendini gizleme özelliği, savunucular için ciddi bir zorluk oluşturmaktadır.
Güvenlik Ekipleri İçin Önemli Çıkarımlar
Güvenlik ekipleri, EtherRAT'ın RSC istismarında önemli bir artışı temsil ettiğini ve uzun vadeli saldırıları sürdürebilen, kalıcı ve son derece uyarlanabilir bir tehdide dönüştüğünü dikkate almalıdır. Komuta ve kontrol altyapısı özellikle dirençlidir ve Ethereum akıllı sözleşmelerini ve çoklu uç nokta konsensüs mekanizmasını kullanarak sinkholing girişimlerine, devre dışı bırakmalara ve bireysel uç noktaların manipülasyonuna karşı koymaktadır. Ek olarak, kötü amaçlı yazılımın Contagious Interview kampanyasıyla olan yakın ilişkisi, yüksek değerli geliştirici hedeflerine yönelik devam eden bir odağı vurgulayarak, blockchain ve Web3 geliştirme topluluklarında artan bir uyanıklık ihtiyacını ortaya koymaktadır.
