Angebot für Mehrfachlizenz-Rabatt
Bedrohungsdatenbank Tools zur Remoteverwaltung EtherRAT-Malware

EtherRAT-Malware

Von Mezo in Tools zur Remoteverwaltung, Erweiterte, anhaltende Bedrohung (APT)
Übersetzen Sie in:

Eine kürzlich aufgedeckte Bedrohungskampagne, die mit nordkoreanischen Akteuren in Verbindung gebracht wird, nutzt vermutlich die kritische React2Shell-Schwachstelle (RSC) aus, um einen bisher unbekannten Remote-Access-Trojaner namens EtherRAT einzusetzen. Diese Schadsoftware zeichnet sich dadurch aus, dass sie Ethereum-Smart-Contracts in ihren Command-and-Control-Workflow (C2) integriert, mehrere Persistenzschichten unter Linux installiert und während der Bereitstellung eine eigene Node.js-Laufzeitumgebung mitbringt.

Links zu den laufenden Operationen der “ansteckenden Interviews”.

Sicherheitsteams haben starke Ähnlichkeiten zwischen den Aktivitäten von EtherRAT und der langjährigen Kampagne mit dem Namen Contagious Interview festgestellt. Dabei handelt es sich um eine Reihe von Angriffen, die seit Anfang 2025 aktiv sind und die EtherHiding-Technik zur Malware-Verbreitung nutzen.

Diese Angriffe zielen typischerweise auf Blockchain- und Web3-Entwickler ab, indem sie böswillige Absichten hinter gefälschten Vorstellungsgesprächen, Programmieraufgaben und Video-Assessments verbergen. Die Opfer werden üblicherweise über Plattformen wie LinkedIn, Upwork und Fiverr kontaktiert, wo die Angreifer sich als seriöse Personalvermittler ausgeben und attraktive Stellen anbieten.

Forscher stellen fest, dass sich dieser Bedrohungscluster zu einer der produktivsten bösartigen Kräfte innerhalb des npm-Ökosystems entwickelt hat und seine Fähigkeit unter Beweis stellt, in JavaScript-basierte Lieferketten und auf Krypto ausgerichtete Arbeitsabläufe einzudringen.

Der erste Sicherheitsvorfall: Ausnutzung von React2Shell

Die Angriffssequenz beginnt mit der Ausnutzung von CVE‑2025‑55182, einer kritischen RSC-Schwachstelle mit einem perfekten Schweregrad von 10. Mithilfe dieser Schwachstelle führen Angreifer einen Base64-kodierten Befehl aus, der ein Shell-Skript herunterlädt und auslöst, das für die Initiierung des primären JavaScript-Implantats verantwortlich ist.

Das Skript wird per curl abgerufen, wobei wget und Python 3 als Ausweichmethoden dienen. Vor dem Start der eigentlichen Payload bereitet es das System vor, indem es Node.js v20.10.0 direkt von nodejs.org bezieht und anschließend sowohl einen verschlüsselten Datenblock als auch einen verschleierten JavaScript-Dropper auf die Festplatte schreibt. Um forensische Spuren zu minimieren, löscht das Skript nach Abschluss der Einrichtung alle Spuren und übergibt die Kontrolle an den Dropper.

Bereitstellung von EtherRAT: Verschlüsselung, Ausführung und Smart Contract C2

Die Kernfunktion des Droppers ist einfach: Er entschlüsselt die EtherRAT-Payload mit einem fest codierten Schlüssel und startet sie mit der frisch heruntergeladenen Node.js-Binärdatei.

EtherRAT zeichnet sich vor allem durch die Nutzung von EtherHiding aus, einer Methode, die alle fünf Minuten die Adresse des C2-Servers aus einem Ethereum-Smart-Contract abruft. Dadurch können die Betreiber die Infrastruktur in Echtzeit aktualisieren, selbst wenn Angreifer bestehende Domänen stören.

Eine Besonderheit dieser Implementierung ist ihr konsensbasiertes Abstimmungssystem. EtherRAT fragt gleichzeitig neun öffentliche Ethereum-RPC-Endpunkte ab, sammelt die Ergebnisse und vertraut der von der Mehrheit zurückgegebenen C2-URL. Dieser Ansatz neutralisiert mehrere Verteidigungsstrategien und stellt sicher, dass ein kompromittierter oder manipulierter RPC-Endpunkt das Botnetz nicht in die Irre führen oder zum Absturz bringen kann.

Forscher hatten zuvor eine ähnliche Technik in bösartigen npm-Paketen colortoolsv2 und mimelib2 entdeckt, die dazu dienten, Downloader-Komponenten an Entwickler zu verteilen.

Hochfrequente Befehlsabfrage und mehrschichtige Persistenz

Nachdem EtherRAT die Verbindung zu seinem C2-Server hergestellt hat, startet es einen schnellen Abfragezyklus im 500-Millisekunden-Takt. Jede Antwort, die länger als zehn Zeichen ist, wird als JavaScript interpretiert und sofort auf dem kompromittierten System ausgeführt.

Der langfristige Zugriff wird durch fünf Persistenztechniken aufrechterhalten, wodurch die Zuverlässigkeit über verschiedene Linux-Startprozesse hinweg erhöht wird:

Persistenzmethoden:

  • Systemd-Benutzerdienst
  • XDG-Autostart-Eintrag
  • Cronjobs
  • .bashrc-Modifikation
  • Profil-Injektion

Durch die Verbreitung über mehrere Ausführungspfade läuft die Malware auch nach Neustarts weiter und gewährleistet so den ununterbrochenen Zugriff für die Bediener.

Selbstaktualisierungsfähigkeiten und Verschleierungsstrategie

EtherRAT verfügt über einen ausgeklügelten Aktualisierungsprozess: Es sendet seinen eigenen Quellcode an einen API-Endpunkt, empfängt eine modifizierte Version vom C2-Server und startet sich mit dieser neuen Variante neu. Obwohl die Aktualisierung funktional identisch ist, wird die zurückgegebene Nutzlast anders verschleiert, wodurch das Implantat statischen Erkennungsmethoden entgeht.

Codeüberschneidungen mit früheren JavaScript-Bedrohungsfamilien

Weitere Analysen zeigen, dass Teile des verschlüsselten Loaders von EtherRAT Ähnlichkeiten mit BeaverTail aufweisen, einem bekannten JavaScript-basierten Downloader und Datendiebstahlprogramm, das bei den Operationen von Contagious Interview eingesetzt wurde. Dies bestärkt die Annahme, dass EtherRAT entweder ein direkter Nachfolger oder eine Erweiterung der in dieser Kampagne verwendeten Tools ist.

Auswirkungen für Verteidiger: Ein Wandel hin zu Heimlichkeit und Beharrlichkeit

EtherRAT stellt eine bedeutende Weiterentwicklung der Ausnutzung von React2Shell dar. Anstatt sich ausschließlich auf opportunistische Aktivitäten wie Kryptomining oder den Diebstahl von Zugangsdaten zu konzentrieren, priorisiert dieses Implantat einen unauffälligen, langfristigen Zugriff. Die Kombination aus Smart-Contract-gesteuerten C2-Operationen, konsensbasierter Endpunktverifizierung, mehreren Persistenzschichten und kontinuierlicher Selbstverschleierung stellt eine ernsthafte Herausforderung für die Verteidigung dar.

Wichtigste Erkenntnisse für Sicherheitsteams

Sicherheitsteams sollten beachten, dass EtherRAT eine deutliche Eskalation der RSC-Ausnutzung darstellt und sich zu einer persistenten und hochgradig anpassungsfähigen Bedrohung entwickelt hat, die langfristige Angriffe ermöglicht. Die Command-and-Control-Infrastruktur ist besonders widerstandsfähig und nutzt Ethereum Smart Contracts sowie einen Multi-Endpoint-Konsensmechanismus, um Sinkholing-Angriffe, Systemabschaltungen und die Manipulation einzelner Endpunkte zu verhindern. Darüber hinaus verdeutlicht die enge Verbindung der Malware zur „Contagious Interview“-Kampagne den anhaltenden Fokus auf hochkarätige Entwickler und unterstreicht die Notwendigkeit erhöhter Wachsamkeit in den Blockchain- und Web3-Entwicklergemeinschaften.

Im Trend

Am häufigsten gesehen

Wird geladen...