СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
23.12.2025
#ИБ

EtherRAT: эксплуатация React2Shell создала безфайловый RAT в блокчейне

В новом отчёте исследователи описывают сложную кампанию с участием вредоносного ПО EtherRAT, которое, по оценке, может быть связано с северокорейскими злоумышленниками. Зловред использует уязвимость React2Shell (CVE-2025-55182) для развертывания через скомпрометированный Next.js-сервер и действует как «безфайловый» имплантат на базе Node.js, минимизируя следы на диске.

«EtherRAT работает как имплантат без опилок, используя Node.js, гарантируя таким образом, что его полезная нагрузка не взаимодействует с диском» — фрагмент отчёта.

Ключевые особенности атаки

  • Первичное развертывание произошло 5 декабря 2025 года — вскоре после публичного раскрытия уязвимости, что указывает на предварительную подготовку злоумышленников.
  • Команды управления и контроля (C2) инкапсулируются в транзакциях Ethereum, что усложняет обнаружение и одновременно оставляет неизменяемую судебно-медицинскую запись с отметками времени и хэшами транзакций.
  • Имплантат переключается между несколькими серверами C2, поддерживая устойчивое подключение.

Тактика и возможности вредоносного ПО

EtherRAT совмещает несколько продвинутых техник, характерных для современных целевых кампаний:

  • Разведка и сбор системной информации: определение членства в домене Active Directory, проверка прав пользователей и обнаружение установленных продуктов безопасности.
  • Сбор учётных данных: фокус на seed-фразах криптокошельков и других конфиденциальных данных с использованием расширенных методов поиска.
  • Эксфильтрация: передача похищенных данных по тем же C2‑каналам, реализованным через blockchain‑транзакции.
  • Самораспространяющийся модуль‑червь: сканирует Интернет в поисках уязвимых серверов и пытается использовать ту же уязвимость — при этом включает внутреннее перемещение по частным IP‑сетям организации, что нетипично для обычных интернет‑червей.
  • Перехват веб‑трафика: модуль захвата веб‑сервера изменяет конфигурации nginx и Apache для перенаправления трафика на xss.pro — известный форум по борьбе с киберпреступностью, что указывает на попытку монетизации трафика помимо кражи данных.
  • Устойчивость доступа: лёгкий SSH‑бэкдор обеспечивает возможность восстановления плацдарма независимо от инфраструктуры C2.

Почему использование Ethereum как C2 важно

Интеграция командного канала в транзакции Ethereum даёт злоумышленникам ряд преимуществ: низкая наблюдаемость в привычных сетевых каналах, устойчивая и глобально доступная инфраструктура, а также возможность использовать публичный и неизменяемый реестр для хранения указаний. В то же время транзакции оставляют исследователям ценную информации: URL‑адреса C2 документируются с временными метками и хэшами транзакций, что помогает в последующей атрибуции и расследовании.

Сигналы компрометации — на что обращать внимание

  • Необычные или новые Node.js‑процессы на веб‑серверах Next.js.
  • Изменения конфигураций nginx или Apache, которые перенаправляют трафик на внешние ресурсы (включая xss.pro).
  • Исходящие соединения, формирующие транзакции или взаимодействующие с Ethereum‑нодами/проводниками.
  • Необычная активность внутри частных IP‑диапазонов: сканирование и попытки удалённого выполнения внутри корпоративной сети.
  • Наличие неожиданных SSH‑ключей, новых учётных записей или сохранённых бэкдоров.

Рекомендации по защите и реагированию

Чтобы снизить риск успешной эксплуатации и минимизировать последствия, специалисты по безопасности должны выполнить следующие шаги:

  • Немедленно применить патчи для устранения React2Shell (CVE-2025-55182) и обновить Next.js-инстансы.
  • Ограничить и мониторить исходящие соединения к Ethereum‑нодам и подозрительным внешним ресурсам.
  • Проверить целостность конфигураций nginx и Apache и откатить несанкционированные изменения.
  • Использовать EDR/NGAV для выявления безфайловых имплантатов на базе Node.js и отслеживать аномальную поведенческую активность процессов.
  • Провести аудит SSH‑ключей и учётных записей, сменить скомпрометированные учётные данные и seed‑фразы криптокошельков при необходимости.
  • Ограничить сквозной доступ внутри сети, сегментировать внутренние сети и усилить мониторинг lateral‑movement.

Вывод

EtherRAT демонстрирует растущую изощренность злоумышленников: сочетание fileless‑техник, использования публичной blockchain‑инфраструктуры для C2, встроенных методов сбора и самораспространения делает эту угрозу серьёзной для организаций с публичными веб‑серверными площадками. Оперативное устранение уязвимостей, тщательный мониторинг сетевого трафика и проверка конфигураций веб‑серверов — ключевые меры для нейтрализации рисков, связанных с этой кампанией.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: