Multi-License Discount Quote
Banta sa Database Remote Administration Tools Malware ng EtherRAT

Malware ng EtherRAT

Sa pamamagitan ng Mezo sa Remote Administration Tools, Advanced Persistent Threat (APT)
Isalin To:

Isang kamakailang natuklasang kampanya ng banta na nauugnay sa mga operator ng North Korea ang pinaniniwalaang nagsasamantala sa kritikal na kahinaan ng React2Shell (RSC) upang mag-deploy ng isang dating hindi nakikitang remote access trojan na kilala bilang EtherRAT. Namumukod-tangi ang malware na ito dahil sa pagsasama ng mga Ethereum smart contract sa Command‑and‑Control (C2) workflow nito, pag-install ng maraming persistence layer sa Linux, at pag-bundle ng sarili nitong Node.js runtime habang nagde-deploy.

Mga Link sa Patuloy na Operasyon ng 'Nakakahawang Panayam'

Natukoy ng mga pangkat ng seguridad ang malalaking pagkakatulad sa pagitan ng aktibidad ng EtherRAT at ng matagal nang kampanyang tinutukoy bilang Contagious Interview, isang serye ng mga pag-atake na aktibo simula noong unang bahagi ng 2025 at gumagamit ng pamamaraan ng EtherHiding para sa paghahatid ng malware.

Karaniwang tinatarget ng mga operasyong ito ang mga blockchain at Web3 developer sa pamamagitan ng pagtatakip ng mga malisyosong intensyon sa likod ng mga gawa-gawang panayam sa trabaho, mga coding test, at mga video assessment. Karaniwang kinokontak ang mga biktima sa pamamagitan ng mga platform tulad ng LinkedIn, Upwork, at Fiverr, kung saan ang mga umaatake ay nagpapanggap na mga lehitimong recruiter na nag-aalok ng mga oportunidad sa trabaho na may mataas na halaga.

Napansin ng mga mananaliksik na ang threat cluster na ito ay naging isa sa mga pinakaproduktibong malisyosong puwersa sa loob ng npm ecosystem, na nagpapakita ng kasanayan nito sa pagpasok sa mga supply chain na nakabatay sa JavaScript at mga daloy ng trabaho na nakatuon sa crypto.

Ang Unang Paglabag: Pagsasamantala sa React2Shell

Ang pagkakasunod-sunod ng pag-atake ay nagsisimula sa pagsasamantala sa CVE‑2025‑55182, isang kritikal na kahinaan sa RSC na may perpektong marka ng kalubhaan na 10. Gamit ang depektong ito, isinasagawa ng mga umaatake ang isang utos na naka-encode sa Base64 na nagda-download at nagti-trigger ng isang shell script na responsable sa pagsisimula ng pangunahing JavaScript implant.

Ang script ay kinukuha sa pamamagitan ng curl, kung saan ang wget at python3 ang nagsisilbing mga backup na paraan. Bago ilunsad ang pangunahing payload, inihahanda nito ang sistema sa pamamagitan ng pagkuha ng Node.js v20.10.0 nang direkta mula sa nodejs.org, pagkatapos ay nagsusulat ng parehong naka-encrypt na data blob at isang nakatagong JavaScript dropper sa disk. Upang limitahan ang mga forensic trace, nililinis ng script ang sarili nito kapag nakumpleto na ang setup at inililipat ang kontrol sa dropper.

Paghahatid ng EtherRAT: Encryption, Execution, at Smart Contract C2

Diretso lang ang pangunahing tungkulin ng dropper: i-decrypt ang EtherRAT payload gamit ang isang hard-coded key at ilunsad ito gamit ang bagong na-download na Node.js binary.

Ang natatanging katangian ng EtherRAT ay ang pag-asa nito sa EtherHiding, isang paraan na kumukuha ng C2 server address mula sa isang Ethereum smart contract kada limang minuto. Pinapayagan nito ang mga operator na i-update ang imprastraktura nang mabilisan, kahit na guluhin ng mga tagapagtanggol ang mga umiiral na domain.

Isang kakaibang pagbabago sa implementasyong ito ay ang sistema ng pagboto nito na nakabatay sa pinagkasunduan. Ang EtherRAT ay sabay-sabay na nagtatanong ng siyam na pampublikong Ethereum RPC endpoint, kinokolekta ang mga resulta, at pinagkakatiwalaan ang C2 URL na ibinalik ng nakararami. Nine-neutralize ng pamamaraang ito ang ilang mga estratehiyang pandepensa, na tinitiyak na ang isang nakompromiso o minanipulang RPC endpoint ay hindi maaaring malinlang o masira ang botnet.

Nauna nang nakita ng mga mananaliksik ang isang katulad na pamamaraan sa mga malisyosong npm package na colortoolsv2 at mimelib2, na ginagamit upang ipamahagi ang mga bahagi ng downloader sa mga developer.

Pagsusuri sa Mataas na Dalas ng Utos at Pagtitiyaga sa Maraming Layer

Matapos makapagtatag ng komunikasyon sa C2 server nito, ang EtherRAT ay papasok sa isang mabilis na polling cycle na tumatakbo bawat 500 milliseconds. Anumang tugon na lumalagpas sa sampung karakter ay binibigyang-kahulugan bilang JavaScript at agad na isinasagawa sa nakompromisong sistema.

Ang pangmatagalang pag-access ay pinapanatili sa pamamagitan ng limang pamamaraan ng persistence, na nagtutulak ng reliability sa iba't ibang proseso ng startup ng Linux:

Mga Paraan ng Pagtitiyaga:

  • Serbisyo ng gumagamit ng systemd
  • Pagpasok ng awtomatikong pagsisimula ng XDG
  • Mga trabaho sa Cron
  • Pagbabago ng .bashrc
  • Iniksyon ng profile

Sa pamamagitan ng pagkalat sa maraming landas ng pagpapatupad, ang malware ay patuloy na tumatakbo kahit na nag-reboot, na tinitiyak ang walang patid na pag-access para sa mga operator.

Mga Kakayahan sa Pag-update ng Sarili at Istratehiya sa Paglilihim

Kasama sa EtherRAT ang isang sopistikadong proseso ng pag-update: nagpapadala ito ng sarili nitong source code sa isang API endpoint, tumatanggap ng binagong bersyon mula sa C2 server, at muling inilulunsad ang sarili gamit ang bagong variant na ito. Bagama't magkapareho ang function ng update, ang ibinalik na payload ay na-obfuscate nang iba, na tumutulong sa implant na maiwasan ang mga static detection techniques.

Ang Code ay Nagpapatong-patong sa mga Nakaraang Pamilya ng Banta sa JavaScript

Ipinapakita ng karagdagang pagsusuri na ang mga bahagi ng encrypted loader ng EtherRAT ay may mga pattern na katulad ng sa BeaverTail, isang kilalang JavaScript-based downloader at information stealer na ginagamit sa mga operasyon ng Contagious Interview. Pinatitibay nito ang pagtatasa na ang EtherRAT ay maaaring direktang kahalili o isang extension ng tooling na ginamit sa kampanyang iyon.

Mga Implikasyon para sa mga Tagapagtanggol: Isang Pagbabago Tungo sa Paglilihim at Pagtitiyaga

Ang EtherRAT ay nagpapakita ng isang makabuluhang ebolusyon sa paggamit ng React2Shell. Sa halip na tumuon lamang sa mga oportunistang aktibidad tulad ng cryptomining o pagnanakaw ng kredensyal, inuuna ng implant na ito ang palihim at pangmatagalang pag-access. Ang timpla nito ng mga operasyon ng C2 na pinapagana ng smart-contract, pag-verify ng endpoint na nakabatay sa pinagkasunduan, maraming layer ng persistence, at patuloy na self-obfuscation ay nagdudulot ng isang seryosong hamon para sa mga tagapagtanggol.

Mga Pangunahing Punto para sa mga Koponan ng Seguridad

Dapat tandaan ng mga pangkat ng seguridad na ang EtherRAT ay kumakatawan sa isang makabuluhang pagtaas sa pagsasamantala sa RSC, na nagbabago nito tungo sa isang patuloy at lubos na madaling umangkop na banta na may kakayahang magpanatili ng pangmatagalang panghihimasok. Ang imprastraktura ng command-and-control nito ay partikular na matatag, na gumagamit ng mga smart contract ng Ethereum at isang mekanismo ng pinagkasunduan na multi-endpoint upang mapaglabanan ang mga pagtatangka ng sinkholing, takedown, at manipulasyon ng mga indibidwal na endpoint. Bukod pa rito, ang malapit na kaugnayan ng malware sa kampanyang Contagious Interview ay nagpapakita ng patuloy na pagtuon sa mga target na developer na may mataas na halaga, na binibigyang-diin ang pangangailangan para sa mas mataas na pagbabantay sa loob ng mga komunidad ng blockchain at Web3 development.

Trending

Pinaka Nanood

Naglo-load...