多许可证折扣报价
威胁数据库 远程管理工具 EtherRAT恶意软件

EtherRAT恶意软件

通过Mezo远程管理工具, 高级持续性威胁 (APT)
翻译为:

最近发现的一起与朝鲜运营商有关的威胁活动,据信正在利用 React2Shell (RSC) 的关键漏洞部署一种名为 EtherRAT 的此前未知的远程访问木马。该恶意软件的显著特点是:将以太坊智能合约集成到其命令与控制 (C2) 工作流程中,在 Linux 系统上安装多个持久层,并在部署过程中捆绑其自身的 Node.js 运行时。

与正在进行的“传染性访谈”行动相关的链接

安全团队发现 EtherRAT 活动与长期存在的“传染性访谈”攻击活动有很强的相似性。“传染性访谈”是一系列攻击活动,自 2025 年初以来一直活跃,并使用 EtherHiding 技术进行恶意软件传播。

这些攻击通常针对区块链和Web3开发者,通过伪造的面试、编程测试和视频评估来掩盖其恶意意图。受害者通常通过LinkedIn、Upwork和Fiverr等平台被联系,攻击者在这些平台上冒充合法招聘人员,提供高价值的就业机会。

研究人员指出,该威胁集群已成为 npm 生态系统中最活跃的恶意力量之一,展现了其渗透基于 JavaScript 的供应链和以加密为中心的工作流程的能力。

初始漏洞:React2Shell 漏洞利用

攻击序列首先利用 CVE-2025-55182,这是一个严重性评分为 10 的 RSC 漏洞。利用此漏洞,攻击者执行 Base64 编码的命令,该命令下载并触发一个 shell 脚本,该脚本负责启动主要的 JavaScript 植入程序。

该脚本通过 curl 获取,wget 和 Python 3 作为备用方法。在启动主有效载荷之前,它会从 nodejs.org 直接获取 Node.js v20.10.0 来准备系统,然后将加密数据块和一段经过混淆处理的 JavaScript 投放器写入磁盘。为了减少取证痕迹,脚本会在设置完成后清理自身并将控制权移交给投放器。

EtherRAT交付:加密、执行和智能合约C2

投放器的核心功能很简单:使用硬编码密钥解密 EtherRAT 有效载荷,并使用新下载的 Node.js 二进制文件启动它。

EtherRAT 最突出的特点在于它依赖于 EtherHiding 技术,该技术每五分钟从以太坊智能合约中检索 C2 服务器地址。这使得运营者能够实时更新基础设施,即使防御者破坏了现有域名。

该实现方案的独特之处在于其基于共识的投票系统。EtherRAT 同时查询九个公开的以太坊 RPC 端点,收集结果,并信任多数端点返回的 C2 URL。这种方法可以有效规避多种防御策略,确保即使某个 RPC 端点被攻破或篡改,也不会误导或阻塞整个僵尸网络。

研究人员此前在恶意 npm 包 colortoolsv2 和 mimelib2 中发现了类似的技术,这些包被用来向开发者分发下载器组件。

高频命令轮询和多层持久化

EtherRAT 与 C2 服务器建立通信后,会进入每 500 毫秒一次的快速轮询周期。任何超过十个字符的响应都会被解释为 JavaScript 代码,并在受感染的系统上立即执行。

通过五种持久化技术来维持长期访问,从而提高各种 Linux 启动过程的可靠性:

持久化方法:

  • Systemd 用户服务
  • XDG自动启动入口
  • 定时任务
  • .bashrc 修改
  • 轮廓注入

通过跨多个执行路径传播,该恶意软件即使在重启后也能继续运行,从而确保操作员可以不间断地访问。

自更新能力和混淆策略

EtherRAT 包含一套复杂的更新流程:它会将自身的源代码发送到 API 端点,从 C2 服务器接收修改后的版本,然后使用这个新版本重新启动自身。虽然更新在功能上完全相同,但返回的有效载荷经过了不同的混淆处理,这有助于植入程序躲避静态检测技术。

代码与之前的 JavaScript 威胁家族重叠

进一步分析表明,EtherRAT加密加载器的部分代码与BeaverTail(一款已知的基于JavaScript的下载器和信息窃取工具,曾用于“传染性访谈”行动)存在相似之处。这进一步证实了EtherRAT要么是“传染性访谈”行动中所用工具的直接继承者,要么是其扩展版本。

对防御者的启示:转向隐蔽和持久作战

EtherRAT 展示了 React2Shell 利用方式的显著演进。它不再仅仅专注于加密货币挖矿或凭证窃取等机会主义活动,而是优先考虑隐蔽的长期访问。它融合了智能合约驱动的 C2 操作、基于共识的端点验证、多层持久化以及持续的自我混淆,对防御者构成了严峻挑战。

安全团队的关键要点

安全团队应注意,EtherRAT 代表着 RSC 漏洞利用的显著升级,使其成为一种持续且高度适应性的威胁,能够维持长期入侵。其命令与控制基础设施尤其强大,利用以太坊智能合约和多端点共识机制来抵御黑洞攻击、服务器宕机和对单个端点的操纵。此外,该恶意软件与“Contagious Interview”攻击活动的密切关联凸显了其持续关注高价值开发者目标,强调了区块链和 Web3 开发社区提高警惕的必要性。

趋势

取消您的网络邮箱帐户的请求诈骗

网络钓鱼, 垃圾邮件
网络犯罪分子持续炮制伪装成常规服务通知的欺骗性邮件,“请求取消您的网络邮箱账户”骗局就是一个典型的例子。虽然这些邮件看起来紧急或官方,但它们实际上是旨在窃取敏感信息的网络钓鱼骗局的一部分。这些邮件与任何合法公司、组织或服务提供商均无关联。 欺诈性取消通知 这种诈骗邮件声称已发起终止收件人网络邮箱账户的请求。为了阻止所谓的账户被取消,邮件指示收件人点击链接“重新激活”账户。邮件还制造了一种虚假的紧迫感,声称该链接只能使用一次,且仅有效一小时。这种施压策略是常见的伎俩,旨在降低人们的警惕性,诱使人们冲动点击。 一个为盗窃而建立的假冒网站 点击嵌入链接的用户会被引导至一个精心设计的欺诈网页,该网页模仿常见的电子邮件登录页面,通常会模仿 Gmail 或 Yahoo Mail...

Ptifirelaria.com

恶意网站, 广告软件, 浏览器劫持者
在互联网上保持警惕至关重要,因为无数欺骗性网页旨在误导访问者、诱发不安全行为或使其接触危险内容。Ptifirelaria.com 就是这样一个网页,研究人员将其认定为更广泛的不可靠且具有操控性的网络资源生态系统的一部分。该网站的主要目的并非帮助用户,而是通过误导性提示和不必要的通知来利用用户。 一个建立在欺骗之上的流氓网站 Ptifirelaria.com...

最受关注

如何修复“打印机驱动程序不可用”错误

问题
48,554
打印机因拒绝在用户最需要的时候完成工作而臭名昭著。幸运的是,如果您的打印机显示“打印机驱动程序不可用”错误,那么有几个简单的解决方案可以解决该问题。此特定错误可能是由损坏的驱动程序文件、过时的驱动程序或驱动程序不兼容引起的。虽然使用 Microsoft 的通用驱动程序可以避免该问题,但我们想向您介绍其他解决方案。 更新打印机的驱动程序...

Discord 卡在灰色屏幕上

问题
38,529
有时,在使用 Discord 应用程序时,用户可能会卡在灰色屏幕上。在流式传输或简单地加载应用程序时可能会出现此问题。如果您遇到这种情况并且想知道如何解决它,请尝试以下解决方案。 在屏幕模式之间切换 如果原因是视觉故障而不是更严重的问题,从一种屏幕模式切换到另一种屏幕模式,例如启用全屏模式或较小的屏幕选项,可以解决问题。按键盘上的 Ctrl+A 看看它是否有任何效果。 删除 Discord...
Discord 在共享屏幕时显示黑屏截图

Discord 在共享屏幕时显示黑屏

问题
36,641
首次推出时,Discord 是一个面向游戏社区的 VoIP 平台。然而,在接下来的几年里,它扩大了范围,增加了许多新功能,并成为最大的社交平台之一,每月活跃用户超过 1.4 亿。目前,用户可以发送私人即时消息、启动 VoIP 和视频通话、流式传输他们的计算机屏幕,并组织以特定兴趣为中心的称为服务器的社区。 毫无疑问,快速轻松地开始共享计算机屏幕的能力是吸引人们使用 Discord...
正在加载...