EtherRAT: блокчейн-C2, фишинг и вредоносная инфраструктура

Анализ выявил вредоносную инфраструктуру, которая в первую очередь ориентирована на распространение Trojan program EtherRAT (RAT), а также на размещение phishing pages и другого malware. Расследование началось с открытой директории, где были обнаружены MSI-installers и PowerShell scripts, способные развернуть EtherRAT. По мере изучения инфраструктуры исследователи зафиксировали эволюцию версий от v1 до v10, что указывает на постоянное развитие набора инструментов злоумышленников.

Особый интерес представляет то, что инфраструктура состоит из множества domains с общей hacker aesthetic. Это может означать, что они являются частью более широкой сети, предназначенной для распространения malware, включая remote administration software и phishing content.

Что такое EtherRAT и почему он опасен

EtherRAT выделяется своей простотой и необычным способом получения данных о server of command and control (C2): он использует blockchain Ethereum. Такой подход повышает устойчивость вредоносной инфраструктуры к захвату и затрудняет оперативное отключение канала управления.

Сам RAT написан на Node.js и предоставляет злоумышленникам полный контроль над зараженными машинами. Это означает возможность выполнять произвольный code, переданный с C2-сервера.

EtherRAT использует blockchain Ethereum для получения информации о C2, что делает его более устойчивым к вмешательству в инфраструктуру управления.

Как распространяется вредоносная нагрузка

Методы распространения EtherRAT повторяются в нескольких вариантах и чаще всего включают:

• MSI-packages;
• PowerShell scripts;
• JavaScript files.

Отдельного внимания заслуживает MSI loader: он извлекает дополнительные files, размещенные в случайной local directory, и использует процесс Windows conhost.exe для выполнения commands. В частности, этот механизм может загружать Node.js, если он еще не установлен в системе.

Финальный этап установки EtherRAT связан с использованием метода JSON-RPC eth_call в Ethereum. Через него вредоносная программа получает активный URL-адрес C2 из smart contract в blockchain.

Механизм сокрытия и повторного заражения

После запуска EtherRAT передает свой source code на C2, а затем получает обратно obfuscated version script, предназначенную для затруднения обнаружения при последующих запусках. Такой подход обеспечивает уникальность file hash для каждого экземпляра, что осложняет сигнатурное детектирование.

Помимо MSI-loader и PowerShell-вариантов, исследование выявило и другие варианты scripts, демонстрирующие схожее поведение. В их числе:

• необходимость загрузки Node.js;
• создание необходимых directories;
• запуск payload EtherRAT после decoding с помощью custom encryption algorithm.

Повторяющаяся логика в этих scripts указывает на определенный уровень modularity среди вариантов malware.

Фишинг как часть более широкой схемы

Исследование показывает, что более широкая вредоносная инфраструктура используется различными attackers. Многие ранее обнаруженные domains размещали phishing pages, а сами campaigns часто начинались через malicious emails с прикрепленными documents. Такие сообщения побуждали пользователей переходить по ссылкам для получения дополнительного content, что в итоге приводило к дальнейшему заражению — через phishing или распространение malware.

Дополнительно были выявлены misconfigurations, которые раскрыли элементы phishing kits, применявшихся в этих кампаниях. Это указывает на уязвимости, которые могут быть использованы повторно или расширены в рамках новых атак.

Вывод

В целом исследование описывает сложную и динамичную threat landscape, где EtherRAT занимает заметное место в более широкой схеме cybercriminal activity. Инфраструктура сочетает delivery mechanisms, phishing elements и механизмы сокрытия, что делает ее особенно опасной и трудной для нейтрализации.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.