Sysdig сообщили о появлении EtherRAT - необычного Linux-бекдора, который злоумышленники разворачивают сразу после эксплуатации критической уязвимости React2Shell.
Это один из первых инструментов, где система управления построена не на обычных C2-серверах, а на блокчейне Ethereum.
После проникновения EtherRAT закрепляется на машине через несколько механизмов автозапуска и маскирует свою активность под легитимное окружение Node.js. Такой подход усложняет обнаружение: процессы выглядят нормальными, а сеть не содержит привычных C2-адресов.
Управляющие команды хранятся в смарт-контракте. Это делает канал связи практически неотключаемым. Блокчейн невозможно заблокировать точечно, а трафик к Ethereum-нодам выглядит как обычный запрос к публичному RPC. Именно это делает EtherRAT неудобной целью для защитных систем.
Исследователи отмечают, что по почерку и инфраструктуре атаки похожи на кампании, связанные с северокорейскими группировками. Появление вредоносного инструмента так быстро после раскрытия React2Shell показывает, насколько оперативно злоумышленники учатся использовать новые векторы атаки.
Источник
Это один из первых инструментов, где система управления построена не на обычных C2-серверах, а на блокчейне Ethereum.
После проникновения EtherRAT закрепляется на машине через несколько механизмов автозапуска и маскирует свою активность под легитимное окружение Node.js. Такой подход усложняет обнаружение: процессы выглядят нормальными, а сеть не содержит привычных C2-адресов.
Управляющие команды хранятся в смарт-контракте. Это делает канал связи практически неотключаемым. Блокчейн невозможно заблокировать точечно, а трафик к Ethereum-нодам выглядит как обычный запрос к публичному RPC. Именно это делает EtherRAT неудобной целью для защитных систем.
Исследователи отмечают, что по почерку и инфраструктуре атаки похожи на кампании, связанные с северокорейскими группировками. Появление вредоносного инструмента так быстро после раскрытия React2Shell показывает, насколько оперативно злоумышленники учатся использовать новые векторы атаки.
Источник
