Báo giá giảm giá nhiều giấy phép
Cơ sở dữ liệu về mối đe dọa Công cụ quản lý từ xa Phần mềm độc hại EtherRAT

Phần mềm độc hại EtherRAT

Đến năm Mezo năm Công cụ quản lý từ xa, Mối đe dọa dai dẳng nâng cao (APT)
Dịch sang:

Một chiến dịch tấn công mới được phát hiện có liên quan đến các nhà điều hành Triều Tiên được cho là đang khai thác lỗ hổng bảo mật nghiêm trọng React2Shell (RSC) để triển khai một loại mã độc truy cập từ xa chưa từng thấy trước đây có tên là EtherRAT. Phần mềm độc hại này nổi bật nhờ việc tích hợp các hợp đồng thông minh Ethereum vào quy trình điều khiển và kiểm soát (C2), cài đặt nhiều lớp duy trì trên Linux và đóng gói môi trường chạy Node.js riêng trong quá trình triển khai.

Liên kết đến các hoạt động “Phỏng vấn lây lan” đang diễn ra

Các nhóm bảo mật đã xác định được những điểm tương đồng mạnh mẽ giữa hoạt động của EtherRAT và chiến dịch kéo dài nhiều năm có tên gọi là Contagious Interview, một loạt các cuộc tấn công đã hoạt động từ đầu năm 2025 và sử dụng kỹ thuật EtherHiding để phát tán phần mềm độc hại.

Các hoạt động này thường nhắm mục tiêu vào các nhà phát triển blockchain và Web3 bằng cách che giấu ý đồ xấu xa đằng sau các cuộc phỏng vấn xin việc, bài kiểm tra lập trình và đánh giá video giả mạo. Nạn nhân thường bị liên lạc thông qua các nền tảng như LinkedIn, Upwork và Fiverr, nơi kẻ tấn công giả mạo các nhà tuyển dụng hợp pháp cung cấp các cơ hội việc làm có giá trị cao.

Các nhà nghiên cứu lưu ý rằng nhóm tin tặc này đã trở thành một trong những thế lực độc hại hiệu quả nhất trong hệ sinh thái npm, thể hiện kỹ năng xâm nhập vào các chuỗi cung ứng dựa trên JavaScript và các quy trình làm việc tập trung vào mật mã.

Vụ xâm nhập ban đầu: Khai thác lỗ hổng React2Shell

Chuỗi tấn công bắt đầu bằng việc khai thác lỗ hổng CVE‑2025‑55182, một lỗ hổng RSC nghiêm trọng với điểm mức độ nghiêm trọng hoàn hảo là 10. Sử dụng lỗ hổng này, kẻ tấn công thực thi một lệnh được mã hóa Base64 để tải xuống và kích hoạt một tập lệnh shell chịu trách nhiệm khởi tạo phần mềm độc hại JavaScript chính.

Tập lệnh được tải về thông qua curl, với wget và python3 đóng vai trò là phương pháp dự phòng. Trước khi khởi chạy phần mềm độc hại chính, nó chuẩn bị hệ thống bằng cách tải Node.js phiên bản 20.10.0 trực tiếp từ nodejs.org, sau đó ghi cả một khối dữ liệu được mã hóa và một đoạn mã JavaScript ẩn vào ổ đĩa. Để hạn chế dấu vết điều tra, tập lệnh sẽ tự dọn dẹp sau khi quá trình thiết lập hoàn tất và chuyển quyền điều khiển cho phần mềm phát tán mã độc.

Triển khai EtherRAT: Mã hóa, Thực thi và Hợp đồng thông minh C2

Chức năng cốt lõi của phần mềm phát tán khá đơn giản: giải mã dữ liệu EtherRAT bằng khóa được mã hóa cứng và khởi chạy nó bằng tệp nhị phân Node.js vừa được tải xuống.

Tính năng nổi bật của EtherRAT là việc dựa vào EtherHiding, một phương pháp lấy địa chỉ máy chủ C2 từ hợp đồng thông minh Ethereum cứ sau năm phút. Điều này cho phép những kẻ điều hành cập nhật cơ sở hạ tầng một cách nhanh chóng, ngay cả khi những người bảo vệ làm gián đoạn các tên miền hiện có.

Một điểm độc đáo trong cách triển khai này là hệ thống bỏ phiếu dựa trên sự đồng thuận. EtherRAT truy vấn đồng thời chín điểm cuối RPC công khai của Ethereum, thu thập kết quả và tin tưởng URL C2 được trả về bởi đa số. Cách tiếp cận này vô hiệu hóa một số chiến lược phòng thủ, đảm bảo rằng một điểm cuối RPC bị xâm phạm hoặc thao túng không thể đánh lừa hoặc làm sụp đổ mạng botnet.

Trước đây, các nhà nghiên cứu đã phát hiện ra một kỹ thuật tương tự trong các gói npm độc hại colortoolsv2 và mimelib2, được sử dụng để phân phối các thành phần trình tải xuống cho các nhà phát triển.

Truy vấn lệnh tần số cao và tính bền vững đa lớp

Sau khi thiết lập liên lạc với máy chủ C2, EtherRAT sẽ bước vào chu kỳ thăm dò nhanh chóng cứ sau 500 mili giây. Bất kỳ phản hồi nào vượt quá mười ký tự đều được hiểu là mã JavaScript và được thực thi ngay lập tức trên hệ thống bị xâm nhập.

Việc truy cập lâu dài được duy trì thông qua năm kỹ thuật duy trì kết nối, đảm bảo độ tin cậy xuyên suốt các quy trình khởi động Linux khác nhau:

Các phương pháp duy trì:

  • Dịch vụ người dùng Systemd
  • Mục khởi động tự động XDG
  • Các tác vụ định kỳ
  • Sửa đổi tệp .bashrc
  • Tiêm hồ sơ

Bằng cách lan rộng trên nhiều đường dẫn thực thi, phần mềm độc hại tiếp tục hoạt động ngay cả sau khi khởi động lại máy tính, đảm bảo quyền truy cập không bị gián đoạn cho người điều hành.

Khả năng tự cập nhật và chiến lược che giấu thông tin

EtherRAT bao gồm một quy trình cập nhật tinh vi: nó gửi mã nguồn của chính nó đến một điểm cuối API, nhận một phiên bản đã được sửa đổi từ máy chủ C2 và khởi chạy lại chính nó với biến thể mới này. Mặc dù bản cập nhật về mặt chức năng là giống hệt nhau, nhưng tải trọng trả về được mã hóa khác nhau, giúp phần mềm độc hại này tránh được các kỹ thuật phát hiện tĩnh.

Mã này trùng lặp với các họ mã độc JavaScript trước đó.

Phân tích sâu hơn cho thấy một số phần của trình tải mã hóa của EtherRAT có chung đặc điểm với BeaverTail, một phần mềm tải xuống và đánh cắp thông tin dựa trên JavaScript nổi tiếng được sử dụng trong các hoạt động của Contagious Interview. Điều này củng cố nhận định rằng EtherRAT hoặc là phiên bản kế nhiệm trực tiếp hoặc là sự mở rộng của các công cụ được sử dụng trong chiến dịch đó.

Ý nghĩa đối với người phòng thủ: Sự chuyển hướng sang lối chơi lén lút và bền bỉ

EtherRAT thể hiện một bước tiến đáng kể trong việc khai thác lỗ hổng React2Shell. Thay vì chỉ tập trung vào các hoạt động cơ hội như khai thác tiền điện tử hoặc đánh cắp thông tin đăng nhập, phần mềm độc hại này ưu tiên truy cập lén lút, lâu dài. Sự kết hợp giữa các hoạt động C2 dựa trên hợp đồng thông minh, xác minh điểm cuối dựa trên sự đồng thuận, nhiều lớp duy trì và khả năng tự che giấu liên tục đặt ra một thách thức nghiêm trọng đối với các nhà bảo mật.

Những điểm chính cần lưu ý dành cho các đội ngũ bảo mật

Các nhóm bảo mật cần lưu ý rằng EtherRAT thể hiện sự leo thang đáng kể trong việc khai thác lỗ hổng RSC, biến nó thành một mối đe dọa dai dẳng và có khả năng thích ứng cao, có thể duy trì các cuộc xâm nhập dài hạn. Cơ sở hạ tầng điều khiển và giám sát của nó đặc biệt kiên cường, tận dụng các hợp đồng thông minh Ethereum và cơ chế đồng thuận đa điểm cuối để chống lại các nỗ lực tấn công làm tê liệt hệ thống, đánh sập và thao túng các điểm cuối riêng lẻ. Ngoài ra, mối liên hệ chặt chẽ của phần mềm độc hại này với chiến dịch Contagious Interview cho thấy sự tập trung liên tục vào các mục tiêu nhà phát triển có giá trị cao, nhấn mạnh sự cần thiết phải tăng cường cảnh giác trong cộng đồng phát triển blockchain và Web3.

xu hướng

Yêu cầu hủy tài khoản webmail của bạn là một trò lừa...

Lừa đảo, Thư rác
Tội phạm mạng tiếp tục tạo ra những tin nhắn lừa đảo bắt chước các thông báo dịch vụ thông thường, và chiêu trò "Yêu cầu hủy tài khoản webmail của bạn" là một ví dụ điển hình. Mặc dù những email này có vẻ khẩn cấp hoặc chính thức, nhưng chúng là một phần của kế hoạch lừa đảo nhằm thu thập thông tin nhạy cảm. Chúng không liên quan đến bất kỳ công ty, tổ chức hoặc nhà cung cấp dịch vụ hợp pháp...

Xem nhiều nhất

Phần mềm độc hại

Lừa đảo, Thư rác
30,510
Thông báo lừa đảo 'Apple Pay Suspended' là một loại chiến thuật lừa đảo nhằm vào người dùng Apple Pay. Thông báo tuyên bố rằng ví Apple Pay của người dùng đã bị treo và khuyến khích họ nhấp vào liên kết để khôi phục ví. Tuy nhiên, nhấp vào liên kết sẽ đưa người dùng đến một trang web giả mạo được thiết kế để đánh cắp thông tin cá nhân và thông tin tài chính của họ. Nếu người dùng trở...
Đang tải...