EtherRAT 멀웨어

최근 북한 해커들과 연관된 것으로 밝혀진 위협 캠페인이 React2Shell(RSC)의 심각한 취약점을 악용하여 이전에는 볼 수 없었던 원격 접속 트로이목마인 EtherRAT을 배포하는 것으로 추정됩니다. 이 악성코드는 이더리움 스마트 계약을 명령 및 제어(C2) 워크플로에 통합하고, Linux에 여러 지속성 계층을 설치하며, 배포 시 자체 Node.js 런타임을 포함하는 것이 특징입니다.

진행 중인 '전염성 인터뷰' 캠페인 관련 링크

보안팀은 EtherRAT 활동과 2025년 초부터 활동해 온 'Contagious Interview'라는 장기 공격 캠페인 사이에 상당한 유사점을 발견했습니다. Contagious Interview는 악성코드 유포를 위해 EtherHiding 기법을 사용하는 일련의 공격입니다.

이러한 공격은 주로 블록체인 및 웹3 개발자를 대상으로 하며, 조작된 면접, 코딩 테스트, 비디오 평가 등을 통해 악의적인 의도를 숨깁니다. 공격자들은 링크드인, 업워크, 파이버와 같은 플랫폼을 통해 피해자들에게 접근하여 고가의 일자리를 제공하는 것처럼 위장합니다.

연구원들은 이 위협 집단이 npm 생태계 내에서 가장 생산적인 악성 세력 중 하나가 되었으며, 자바스크립트 기반 공급망과 암호화 중심 워크플로에 침투하는 데 뛰어난 능력을 보여주고 있다고 지적합니다.

최초 침입: React2Shell 취약점 공격

공격 과정은 최고 등급인 10점을 받은 치명적인 RSC 취약점인 CVE-2025-55182를 악용하는 것으로 시작됩니다. 공격자는 이 취약점을 이용하여 Base64로 인코딩된 명령을 실행하고, 이 명령은 주요 JavaScript 악성코드를 실행하는 셸 스크립트를 다운로드하고 실행합니다.

이 스크립트는 curl을 통해 가져오며, wget과 python3가 백업 방법으로 사용됩니다. 메인 페이로드를 실행하기 전에, nodejs.org에서 Node.js v20.10.0을 직접 다운로드하여 시스템을 준비한 다음, 암호화된 데이터 덩어리와 난독화된 JavaScript 드롭퍼를 디스크에 기록합니다. 포렌식 흔적을 최소화하기 위해, 스크립트는 설정이 완료되면 자체적으로 정리 작업을 수행하고 드롭퍼에 제어권을 넘깁니다.

EtherRAT 전달: 암호화, 실행 및 스마트 계약 C2

드롭퍼의 핵심 기능은 간단합니다. 하드코딩된 키를 사용하여 EtherRAT 페이로드를 복호화하고 새로 다운로드한 Node.js 바이너리를 사용하여 실행하는 것입니다.

EtherRAT의 가장 두드러진 특징은 EtherHiding이라는 기술을 사용한다는 점입니다. 이 기술은 5분마다 이더리움 스마트 계약에서 C2 서버 주소를 가져오는 방식으로, 운영자는 방어자가 기존 도메인을 방해하더라도 인프라를 즉시 업데이트할 수 있습니다.

이 구현 방식의 독특한 특징은 합의 기반 투표 시스템입니다. EtherRAT은 9개의 공개 이더리움 RPC 엔드포인트에 동시에 쿼리를 보내고 결과를 수집한 후, 다수결로 반환된 C2 URL을 신뢰합니다. 이러한 접근 방식은 여러 방어 전략을 무력화하여, 하나의 손상되거나 조작된 RPC 엔드포인트가 봇넷 전체를 오도하거나 붕괴시키는 것을 방지합니다.

연구원들은 이전에 개발자에게 다운로더 구성 요소를 배포하는 데 사용된 악성 npm 패키지인 colortoolsv2와 mimelib2에서 유사한 기법을 발견했습니다.

고빈도 명령 폴링 및 다층 지속성

EtherRAT은 C2 서버와 통신이 설정되면 500밀리초마다 빠른 폴링 주기를 실행합니다. 10자를 초과하는 응답은 JavaScript로 해석되어 감염된 시스템에서 즉시 실행됩니다.

5가지 지속성 기술을 통해 장기적인 접근이 유지되며, 이를 통해 다양한 Linux 시작 프로세스 전반에 걸쳐 안정성이 향상됩니다.

지속성 방법:

• Systemd 사용자 서비스
• XDG 자동 시작 항목
• 크론 작업
• .bashrc 수정
• 프로필 주입

이 악성 프로그램은 여러 실행 경로에 걸쳐 확산되므로 재부팅 후에도 계속 실행되어 운영자에게 중단 없는 접근을 보장합니다.

자체 업데이트 기능 및 난독화 전략

EtherRAT은 정교한 업데이트 프로세스를 포함하고 있습니다. 자체 소스 코드를 API 엔드포인트로 전송하고, C2 서버에서 수정된 버전을 수신한 후, 이 새로운 변종으로 다시 실행됩니다. 업데이트된 버전은 기능적으로 동일하지만, 반환되는 페이로드는 다른 방식으로 난독화되어 있어 정적 탐지 기법을 회피할 수 있습니다.

이 코드는 기존의 자바스크립트 위협 유형과 중복됩니다.

추가 분석 결과, EtherRAT의 암호화된 로더 일부가 Contagious Interview 작전에 사용된 자바스크립트 기반 다운로더이자 정보 탈취 도구인 BeaverTail과 유사한 패턴을 보이는 것으로 나타났습니다. 이는 EtherRAT이 해당 작전에 사용된 도구의 직접적인 후속 버전이거나 확장된 형태라는 평가를 뒷받침합니다.

수비진에게 주는 시사점: 은밀성과 지속성으로의 전환

EtherRAT은 React2Shell 취약점을 악용하는 방식이 크게 진화했음을 보여줍니다. 암호화폐 채굴이나 자격 증명 탈취와 같은 기회주의적인 활동에만 집중하는 대신, 이 악성코드는 은밀하고 장기적인 접근을 우선시합니다. 스마트 계약 기반의 C2 운영, 합의 기반 엔드포인트 검증, 여러 지속성 계층, 그리고 지속적인 자체 난독화 기능을 결합하여 방어자에게 심각한 위협을 가합니다.

보안팀을 위한 핵심 요점

보안팀은 EtherRAT이 RSC 취약점을 이용한 공격이 크게 진화하여 장기간 침입을 지속할 수 있는 고도로 적응력 있는 위협으로 변모했음을 인지해야 합니다. 특히 EtherRAT의 명령 및 제어 인프라는 이더리움 스마트 계약과 다중 엔드포인트 합의 메커니즘을 활용하여 싱크홀링 시도, 시스템 다운, 개별 엔드포인트 조작에 대한 저항력을 강화합니다. 또한, 이 멀웨어가 Contagious Interview 캠페인과 밀접하게 연관되어 있다는 점은 고가치 개발자를 표적으로 삼는 공격이 지속되고 있음을 보여주며, 블록체인 및 Web3 개발 커뮤니티 내에서 경계 태세를 강화해야 할 필요성을 강조합니다.