Kuota e zbritjes me shumë licencë
Baza e të dhënave të kërcënimeve Mjetet e administrimit në distancë EtherRAT Malware

EtherRAT Malware

Nga MezoMjetet e administrimit në distancë, Kërcënimi i avancuar i vazhdueshëm (APT)
Përkthe në:

Një fushatë kërcënimesh e zbuluar së fundmi e lidhur me operatorët e Koresë së Veriut besohet se po shfrytëzon dobësinë kritike React2Shell (RSC) për të vendosur një trojan me akses në distancë të paparë më parë, të njohur si EtherRAT. Ky program keqdashës dallohet për përfshirjen e kontratave inteligjente të Ethereum në rrjedhën e punës së tij të Komandës dhe Kontrollit (C2), instalimin e shtresave të shumëfishta të këmbënguljes në Linux dhe bashkimin e kohës së vet të ekzekutimit Node.js gjatë vendosjes.

Lidhje me Operacionet e Vazhdueshme të 'Intervistës Ngjitëse'

Ekipet e sigurisë kanë identifikuar ngjashmëri të forta midis aktivitetit të EtherRAT dhe fushatës së gjatë të referuar si Intervistë Kontaminuese, një seri sulmesh që ka qenë aktive që nga fillimi i vitit 2025 dhe përdor teknikën EtherHiding për shpërndarjen e malware-it.

Këto operacione zakonisht synojnë zhvilluesit e blockchain dhe Web3 duke maskuar qëllime dashakeqe pas intervistave të sajuara të punës, testeve të kodimit dhe vlerësimeve me video. Viktimat zakonisht kontaktohen përmes platformave të tilla si LinkedIn, Upwork dhe Fiverr, ku sulmuesit imitojnë rekrutuesit legjitimë që ofrojnë mundësi punësimi me vlerë të lartë.

Studiuesit vërejnë se ky grumbull kërcënimesh është bërë një nga forcat më produktive dashakeqe brenda ekosistemit npm, duke demonstruar aftësinë e tij në infiltrimin e zinxhirëve të furnizimit të bazuar në JavaScript dhe rrjedhave të punës të fokusuara në kripto.

Shkelja Fillestare: Shfrytëzimi i React2Shell

Sekuenca e sulmit fillon me shfrytëzimin e CVE‑2025‑55182, një dobësi kritike RSC me një rezultat perfekt të ashpërsisë prej 10. Duke përdorur këtë të metë, sulmuesit ekzekutojnë një komandë të koduar Base64 që shkarkon dhe aktivizon një skript shell përgjegjës për inicimin e implantit primar JavaScript.

Skripti merret nëpërmjet curl, me wget dhe python3 që veprojnë si metoda rezervë. Përpara se të nisë ngarkesën kryesore, ai përgatit sistemin duke marrë Node.js v20.10.0 direkt nga nodejs.org, pastaj shkruan në disk si një blob të dhënash të enkriptuara ashtu edhe një dropper të fshehur JavaScript. Për të kufizuar gjurmët mjeko-ligjore, skripti pastron veten pasi të përfundojë konfigurimi dhe ia kalon kontrollin dropper-it.

Dorëzimi i EtherRAT: Enkriptimi, Ekzekutimi dhe Kontrata Inteligjente C2

Funksioni kryesor i dropper-it është i thjeshtë: dekripto ngarkesën e EtherRAT duke përdorur një çelës të koduar dhe nise atë me skedarin binar Node.js të shkarkuar së fundmi.

Karakteristika dalluese e EtherRAT është mbështetja e tij në EtherHiding, një metodë që merr adresën e serverit C2 nga një kontratë inteligjente Ethereum çdo pesë minuta. Kjo u lejon operatorëve të përditësojnë infrastrukturën menjëherë, edhe nëse mbrojtësit prishin domenet ekzistuese.

Një kthesë unike në këtë implementim është sistemi i tij i votimit i bazuar në konsensus. EtherRAT pyet njëkohësisht nëntë pika fundore publike RPC të Ethereum, mbledh rezultatet dhe i beson URL-së C2 të kthyer nga shumica. Kjo qasje neutralizon disa strategji mbrojtëse, duke siguruar që një pikë fundore RPC e kompromentuar ose e manipuluar nuk mund të mashtrojë ose të futë në lojë botnet-in.

Studiuesit më parë kanë vërejtur një teknikë të ngjashme në paketat keqdashëse npm colortoolsv2 dhe mimelib2, të cilat u përdorën për të shpërndarë komponentët e shkarkuesit te zhvilluesit.

Sondazh Komandash me Frekuencë të Lartë dhe Qëndrueshmëri Shumështresore

Pas vendosjes së komunikimit me serverin e tij C2, EtherRAT hyn në një cikël të shpejtë sondazhi që ekzekutohet çdo 500 milisekonda. Çdo përgjigje që tejkalon dhjetë karaktere interpretohet si JavaScript dhe ekzekutohet menjëherë në sistemin e kompromentuar.

Qasja afatgjatë mbahet përmes pesë teknikave të këmbënguljes, duke rritur besueshmërinë në procese të ndryshme të fillimit të Linux-it:

Metodat e Qëndrueshmërisë:

  • Shërbimi i përdoruesit të Systemd
  • Hyrja e nisjes automatike XDG
  • Punë Cron
  • Modifikimi i .bashrc
  • Injeksion profili

Duke u përhapur nëpër shtigje të shumëfishta ekzekutimi, programi keqdashës vazhdon të funksionojë edhe pas rinisjes, duke siguruar akses të pandërprerë për operatorët.

Aftësitë e vetë-përditësimit dhe strategjia e errësimit

EtherRAT përfshin një proces të sofistikuar përditësimi: ai dërgon kodin e vet burimor në një pikë fundore API, merr një version të modifikuar nga serveri C2 dhe rilançohet me këtë variant të ri. Edhe pse përditësimi është funksionalisht identik, ngarkesa e kthyer është e paqartë ndryshe, duke e ndihmuar implantin të shmangë teknikat e zbulimit statik.

Kodi mbivendoset me familjet e mëparshme të kërcënimeve JavaScript

Analiza të mëtejshme zbulojnë se pjesë të ngarkuesit të enkriptuar të EtherRAT ndajnë modele me BeaverTail, një shkarkues i njohur i bazuar në JavaScript dhe vjedhës informacioni i përdorur në operacionet Contagious Interview. Kjo përforcon vlerësimin se EtherRAT është ose një pasardhës i drejtpërdrejtë ose një zgjatim i mjeteve të përdorura në atë fushatë.

Implikimet për Mbrojtësit: Një Zhvendosje Drejt Fshehtësisë dhe Këmbënguljes

EtherRAT demonstron një evolucion të rëndësishëm në shfrytëzimin e React2Shell. Në vend që të përqendrohet vetëm në aktivitete oportuniste si minierat e kriptovalutave ose vjedhja e kredencialeve, ky implant i jep përparësi aksesit të fshehtë dhe afatgjatë. Përzierja e tij e operacioneve C2 të drejtuara nga kontrata inteligjente, verifikimit të pikave fundore të bazuara në konsensus, shtresave të shumëfishta të këmbënguljes dhe vetë-errësimit të vazhdueshëm përbën një sfidë serioze për mbrojtësit.

Pikat kryesore për ekipet e sigurisë

Ekipet e sigurisë duhet të kenë parasysh se EtherRAT përfaqëson një përshkallëzim të konsiderueshëm në shfrytëzimin e RSC, duke e transformuar atë në një kërcënim të vazhdueshëm dhe shumë të adaptueshëm, të aftë për të mbështetur ndërhyrje afatgjata. Infrastruktura e tij e komandës dhe kontrollit është veçanërisht elastike, duke shfrytëzuar kontratat inteligjente të Ethereum dhe një mekanizëm konsensusi shumë-pikësh për t'i bërë ballë përpjekjeve të "sinkhole", heqjeve dhe manipulimit të pikave individuale të fundit. Për më tepër, lidhja e ngushtë e malware-it me fushatën Contagious Interview nxjerr në pah një fokus të vazhdueshëm në objektivat e zhvilluesve me vlerë të lartë, duke theksuar nevojën për vigjilencë të shtuar brenda komuniteteve të zhvillimit të blockchain dhe Web3.

Në trend

Kërkesë për Anulimin e Mashtrimit të Llogarisë suaj...

Fishing, Spam
Kriminelët kibernetikë vazhdojnë të krijojnë mesazhe mashtruese që imitojnë njoftimet rutinë të shërbimit, dhe mashtrimi 'Kërkesë për të Anuluar Llogarinë Tuaj të Webmail' është një shembull i qartë. Edhe pse këto email-e mund të duken urgjente ose zyrtare, ato janë pjesë e një skeme phishing të projektuar për të mbledhur informacione të ndjeshme. Ato nuk janë të lidhura me asnjë kompani,...

Më e shikuara

Po ngarkohet...