Škodlivý softvér EtherRAT
Nedávno odhalená kampaň s hrozbami spojená so severokórejskými operátormi údajne zneužíva kritickú zraniteľnosť React2Shell (RSC) na nasadenie doteraz nevideného trójskeho koňa pre vzdialený prístup známeho ako EtherRAT. Tento malvér vyniká tým, že do svojho pracovného postupu Command-and-Control (C2) začleňuje inteligentné zmluvy Ethereum, inštaluje viacero vrstiev perzistencie v systéme Linux a počas nasadzovania spája vlastný runtime Node.js.
Obsah
Odkazy na prebiehajúce operácie „Nákazlivý pohovor“
Bezpečnostné tímy identifikovali silné podobnosti medzi aktivitou EtherRAT a dlhotrvajúcou kampaňou s názvom Contagious Interview, čo je séria útokov, ktorá prebieha od začiatku roka 2025 a na doručovanie malvéru využíva techniku EtherHiding.
Tieto operácie sa zvyčajne zameriavajú na vývojárov blockchainu a Web3 tým, že maskujú škodlivé úmysly za vykonštruovanými pracovnými pohovormi, kódovacími testami a video hodnoteniami. Obeťami sa zvyčajne zaoberajú platformy ako LinkedIn, Upwork a Fiverr, kde sa útočníci vydávajú za legitímnych náborárov ponúkajúcich vysokohodnotné pracovné príležitosti.
Výskumníci poznamenávajú, že tento klaster hrozieb sa stal jednou z najproduktívnejších škodlivých síl v ekosystéme npm a preukázal svoju schopnosť infiltrovať dodávateľské reťazce založené na JavaScripte a pracovné postupy zamerané na kryptomeny.
Počiatočné porušenie: zneužitie React2Shell
Útočná sekvencia začína zneužitím CVE‑2025‑55182, kritickej zraniteľnosti RSC s dokonalým skóre závažnosti 10. Pomocou tejto chyby útočníci spustia príkaz kódovaný v Base64, ktorý stiahne a spustí shellový skript zodpovedný za spustenie primárneho implantátu JavaScriptu.
Skript sa načítava pomocou metódy curl, pričom wget a python3 fungujú ako záložné metódy. Pred spustením hlavného užitočného zaťaženia pripraví systém získaním Node.js v20.10.0 priamo z nodejs.org a potom zapíše na disk zašifrovaný dátový blob aj skrytý JavaScript dropper. Aby sa obmedzili forenzné stopy, skript po dokončení inštalácie po sebe uprace a odovzdá kontrolu dropperu.
Dodávka EtherRAT: Šifrovanie, vykonávanie a inteligentná zmluva C2
Hlavná funkcia droppera je priamočiara: dešifrovať dáta EtherRAT pomocou pevne naprogramovaného kľúča a spustiť ich s čerstvo stiahnutým binárnym súborom Node.js.
Výraznou vlastnosťou EtherRAT je jeho závislosť od EtherHiding, metódy, ktorá každých päť minút získava adresu servera C2 zo inteligentnej zmluvy Ethereum. To umožňuje operátorom aktualizovať infraštruktúru za chodu, aj keď obrancovia narušia existujúce domény.
Jedinečným vylepšením tejto implementácie je systém hlasovania založený na konsenze. EtherRAT sa súčasne dopytuje na deväť verejných koncových bodov RPC siete Ethereum, zhromažďuje výsledky a dôveruje URL adrese C2, ktorú vráti väčšina. Tento prístup neutralizuje niekoľko obranných stratégií a zabezpečuje, že jeden kompromitovaný alebo manipulovaný koncový bod RPC nemôže zavádzať ani prenikať do botnetu.
Výskumníci už predtým objavili podobnú techniku v škodlivých npm balíkoch colortoolsv2 a mimelib2, ktoré sa používali na distribúciu sťahovacích komponentov vývojárom.
Vysokofrekvenčné dotazovanie príkazov a viacvrstvová perzistencia
Po nadviazaní komunikácie so serverom C2 sa EtherRAT spustí do rýchleho cyklu dotazovania, ktorý beží každých 500 milisekúnd. Akákoľvek odpoveď presahujúca desať znakov sa interpretuje ako JavaScript a okamžite sa vykoná v napadnutom systéme.
Dlhodobý prístup sa udržiava prostredníctvom piatich techník perzistencie, ktoré zvyšujú spoľahlivosť v rôznych procesoch spúšťania Linuxu:
Metódy perzistencie:
- Používateľská služba Systemd
- Automatické spustenie XDG
- Cron úlohy
- Úprava súboru .bashrc
- Vstrekovanie profilu
Vďaka šíreniu sa cez viacero spúšťacích ciest malvér pokračuje v činnosti aj po reštarte, čím sa zabezpečí nerušený prístup pre operátorov.
Funkcie samoaktualizácie a stratégia zahmlievania
EtherRAT obsahuje sofistikovaný proces aktualizácie: odošle svoj vlastný zdrojový kód do koncového bodu API, prijme upravenú verziu zo servera C2 a reštartuje sa s touto novou variantou. Hoci je aktualizácia funkčne identická, vrátené užitočné zaťaženie je inak obfuskované, čo pomáha implantátu vyhnúť sa technikám detekcie statickej elektriny.
Kód sa prekrýva s predchádzajúcimi skupinami hrozieb v jazyku JavaScript
Ďalšia analýza odhalila, že časti šifrovaného zavádzacieho programu EtherRAT zdieľajú vzory s BeaverTailom, známym sťahovacím programom a nástrojom na krádež informácií založeným na JavaScripte, ktorý sa používa v operáciách Contagious Interview. To potvrdzuje záver, že EtherRAT je buď priamym nástupcom, alebo rozšírením nástrojov použitých v tejto kampani.
Dôsledky pre obrancov: Posun smerom k nenápadnosti a vytrvalosti
EtherRAT demonštruje významný vývoj vo využívaní React2Shell. Namiesto zamerania sa výlučne na oportunistické aktivity, ako je ťažba kryptomien alebo krádež prihlasovacích údajov, tento implantát uprednostňuje nenápadný, dlhodobý prístup. Jeho kombinácia operácií C2 riadených inteligentnými zmluvami, overovania koncových bodov založeného na konsenze, viacerých vrstiev perzistencie a neustáleho samozhášania predstavuje pre obrancov vážnu výzvu.
Kľúčové poznatky pre bezpečnostné tímy
Bezpečnostné tímy by si mali uvedomiť, že EtherRAT predstavuje významnú eskaláciu zneužívania RSC a transformuje ho na pretrvávajúcu a vysoko prispôsobivú hrozbu schopnú dlhodobo udržiavať prienik. Jeho infraštruktúra velenia a riadenia je obzvlášť odolná a využíva inteligentné zmluvy Ethereum a mechanizmus konsenzu viacerých koncových bodov, aby odolala pokusom o sinkholing, zastaveniu a manipulácii s jednotlivými koncovými bodmi. Okrem toho úzke prepojenie malvéru s kampaňou Contagious Interview zdôrazňuje pretrvávajúce zameranie na vysokohodnotné cieľové skupiny vývojárov a zdôrazňuje potrebu zvýšenej ostražitosti v rámci komunít vývoja blockchainu a Web3.
