多許可證折扣報價
威脅數據庫 遠端管理工具 EtherRAT惡意軟體

EtherRAT惡意軟體

遠端管理工具, 進階持續性威脅 (APT)Mezo
翻譯為:

最近發現的一起與北韓營運商有關的威脅活動,據信正在利用 React2Shell (RSC) 的關鍵漏洞部署一種名為 EtherRAT 的此前未知的遠端存取木馬。此惡意軟體的顯著特點是:將以太坊智慧合約整合到其命令與控制 (C2) 工作流程中,在 Linux 系統上安裝多個持久層,並在部署過程中捆綁其自身的 Node.js 運行時。

與正在進行的“傳染性訪談”行動相關的鏈接

安全團隊發現 EtherRAT 活動與長期存在的「傳染性訪談」攻擊活動有著強烈的相似性。 「傳染性訪談」是一系列攻擊活動,自 2025 年初以來一直活躍,並使用 EtherHiding 技術進行惡意軟體傳播。

這些攻擊通常針對區塊鏈和Web3開發者,透過偽造的面試、程式測試和影片評估來掩蓋其惡意意圖。受害者通常透過LinkedIn、Upwork和Fiverr等平台被聯繫,攻擊者在這些平台上冒充合法招募人員,提供高價值的就業機會。

研究人員指出,該威脅集群已成為 npm 生態系統中最活躍的惡意力量之一,展現了其滲透基於 JavaScript 的供應鏈和以加密為中心的工作流程的能力。

初始漏洞:React2Shell 漏洞利用

攻擊序列首先利用 CVE-2025-55182,這是一個嚴重性評分為 10 的 RSC 漏洞。利用此漏洞,攻擊者執行 Base64 編碼的命令,該命令下載並觸發一個 shell 腳本,該腳本負責啟動主要的 JavaScript 植入程式。

腳本透過 curl 獲取,wget 和 Python 3 作為備用方法。在啟動主有效載荷之前,它會從 nodejs.org 直接取得 Node.js v20.10.0 來準備系統,然後將加密資料區塊和一段經過混淆處理的 JavaScript 投放器寫入磁碟。為了減少取證痕跡,腳本會在設定完成後清理自身並將控制權移交給投放器。

EtherRAT交付:加密、執行與智慧合約C2

投放器的核心功能很簡單:使用硬編碼金鑰解密 EtherRAT 有效載荷,並使用新下載的 Node.js 二進位檔案啟動它。

EtherRAT 最突出的特點在於它依賴 EtherHiding 技術,該技術每五分鐘從以太坊智能合約中檢索 C2 伺服器位址。這使得營運者能夠即時更新基礎設施,即使防禦者破壞了現有網域。

此實現方案的獨特之處在於其基於共識的投票系統。 EtherRAT 同時查詢九個公開的以太坊 RPC 端點,收集結果,並信任多數端點傳回的 C2 URL。這種方法可以有效規避多種防禦策略,確保即使某個 RPC 端點被攻破或竄改,也不會誤導或阻塞整個殭屍網路。

研究人員先前在惡意 npm 套件 colortoolsv2 和 mimelib2 中發現了類似的技術,這些套件被用來向開發者分發下載器元件。

高頻指令輪詢和多層持久化

EtherRAT 與 C2 伺服器建立通訊後,會進入每 500 毫秒一次的快速輪詢週期。任何超過十個字元的回應都會被解釋為 JavaScript 程式碼,並在受感染的系統上立即執行。

透過五種持久化技術來維持長期訪問,從而提高各種 Linux 啟動過程的可靠性:

持久化方法:

  • Systemd 用戶服務
  • XDG自動啟動入口
  • 定時任務
  • .bashrc 修改
  • 輪廓注入

透過跨多個執行路徑傳播,該惡意軟體即使在重新啟動後也能繼續運行,從而確保操作員可以不間斷地存取。

自更新能力和混淆策略

EtherRAT 包含一套複雜的更新流程:它會將自身的原始碼傳送到 API 端點,從 C2 伺服器接收修改後的版本,然後使用這個新版本重新啟動自身。雖然更新在功能上完全相同,但返回的有效載荷經過了不同的混淆處理,這有助於植入程序躲避靜態檢測技術。

程式碼與之前的 JavaScript 威脅家族重疊

進一步分析表明,EtherRAT加密載入器的部分程式碼與BeaverTail(一款已知的基於JavaScript的下載器和資訊竊取工具,曾用於「傳染性訪談」行動)有相似之處。這進一步證實了EtherRAT要不是「傳染性訪談」行動中所用工具的直接繼承者,就是其擴展版本。

對防禦者的啟示:轉向隱蔽與持久作戰

EtherRAT 展示了 React2Shell 利用方式的顯著演進。它不再僅僅專注於加密貨幣挖礦或憑證竊取等機會主義活動,而是優先考慮隱藏的長期訪問。它融合了智慧合約驅動的 C2 操作、基於共識的端點驗證、多層持久化以及持續的自我混淆,對防禦者構成了嚴峻挑戰。

安全團隊的關鍵要點

安全團隊應注意,EtherRAT 代表著 RSC 漏洞利用的顯著升級,使其成為持續且高度適應性的威脅,能夠維持長期入侵。其命令與控制基礎設施尤其強大,利用以太坊智慧合約和多端點共識機制來抵禦黑洞攻擊、伺服器宕機和單一端點的操縱。此外,該惡意軟體與「Contagious Interview」攻擊活動的密切關聯凸顯了其持續關注高價值開發者目標,強調了區塊鏈和 Web3 開發社群提高警覺的必要性。

熱門

取消您的網路信箱帳戶的請求詐騙

網路釣魚, 垃圾郵件
網路犯罪分子持續砲制偽裝成常規服務通知的欺騙性郵件,「要求取消您的網路信箱帳號」騙局就是一個典型的例子。雖然這些郵件看起來緊急或官方,但它們實際上是旨在竊取敏感資訊的網路釣魚騙局的一部分。這些郵件與任何合法公司、組織或服務提供者均無關聯。 詐欺性取消通知 這種詐騙郵件聲稱已發起終止收件者網路信箱帳戶的請求。為了阻止所謂的帳號被取消,郵件指示收件者點擊連結「重新啟動」帳號。郵件還製造了一種虛假的緊迫感,聲稱該連結只能使用一次,且僅有效一小時。這種施壓策略是常見的伎倆,旨在降低人們的警覺性,誘使人們衝動點擊。 一個為盜竊而建立的假網站 點擊嵌入連結的使用者會被引導至精心設計的詐騙網頁,該網頁模仿常見的電子郵件登入頁面,通常會模仿 Gmail 或 Yahoo Mail...

Ptifirelaria.com

流氓網站, 廣告軟體, 瀏覽器劫持者
在網路上保持警覺至關重要,因為無數欺騙性網頁旨在誤導訪客、誘發不安全行為或使其接觸危險內容。 Ptifirelaria.com 就是這樣一個網頁,研究人員將其認定為更廣泛的不可靠且具有操控性的網路資源生態系統的一部分。該網站的主要目的並非幫助用戶,而是透過誤導性提示和不必要的通知來利用用戶。 一個建立在欺騙之上的流氓網站 Ptifirelaria.com...

最受關注

如何修復“打印機驅動程序不可用”錯誤

問題
48,554
打印機因拒絕在用戶最需要的時候完成工作而臭名昭著。幸運的是,如果您的打印機顯示“打印機驅動程序不可用”錯誤,那麼有幾個簡單的解決方案可以解決該問題。此特定錯誤可能是由損壞的驅動程序文件、過時的驅動程序或驅動程序不兼容引起的。雖然使用 Microsoft 的通用驅動程序可以避免該問題,但我們想向您介紹其他解決方案。 更新打印機的驅動程序...

Discord 卡在灰色屏幕上

問題
38,529
有時,在使用 Discord 應用程序時,用戶可能會卡在灰色屏幕上。在流式傳輸或簡單地加載應用程序時可能會出現此問題。如果您遇到這種情況並且想知道如何解決它,請嘗試以下解決方案。 在屏幕模式之間切換 如果原因是視覺故障而不是更嚴重的問題,從一種屏幕模式切換到另一種屏幕模式,例如啟用全屏模式或較小的屏幕選項,可以解決問題。按鍵盤上的 Ctrl+A 看看它是否有任何效果。 刪除 Discord...
Discord 在共享屏幕時顯示黑屏截图

Discord 在共享屏幕時顯示黑屏

問題
36,641
首次推出時,Discord 是一個面向遊戲社區的 VoIP 平台。然而,在接下來的幾年裡,它擴大了範圍,增加了許多新功能,並成為最大的社交平台之一,每月活躍用戶超過 1.4 億。目前,用戶可以發送私人即時消息、啟動 VoIP 和視頻通話、流式傳輸他們的計算機屏幕,並組織以特定興趣為中心的稱為服務器的社區。 毫無疑問,快速輕鬆地開始共享計算機屏幕的能力是吸引人們使用 Discord...
加載中...