EtherRAT: новая вредоносная инфраструктура с C2 через Ethereum
В ходе недавних операций по threat hunting специалисты выявили вредоносную инфраструктуру, которая используется для распространения EtherRAT, фишинговых страниц и различных типов malicious software. По данным отчета, эта экосистема выглядит интегрированной и динамичной, а её элементы могут быть связаны между собой и, возможно, использоваться несколькими злоумышленниками.
Что представляет собой EtherRAT
EtherRAT — это Trojan RAT, созданный на Node.js. После заражения он предоставляет злоумышленникам полный контроль над машиной и позволяет выполнять произвольные команды, получаемые с C2-server.
Отдельного внимания заслуживает механизм устойчивости этой угрозы: EtherRAT использует Ethereum blockchain для получения адреса server управления. Такой подход усложняет попытки блокировки и отключения инфраструктуры.
Как распространяется вредоносное ПО
Обнаружение началось с открытой directory, которая распространяла MSI installer и PowerShell scripts, предназначенные для загрузки EtherRAT. Исследователи отметили последовательную нумерацию версий от v1 до v10, что указывает на эволюцию техники распространения.
Основные каналы заражения включают:
- MSI-files, запускающие установку malicious payload;
- PowerShell scripts, которые инициируют загрузку и развертывание EtherRAT;
- злоумышленнические websites с хакерской тематикой, где размещались папки с ВПО и phishing content.
Как работает загрузчик
Загрузчик MSI извлекает необходимые files в directory со случайным именем в %LOCALAPPDATA% пользователя. После этого он выполняет серию шагов: использует Node.js, загружает его при отсутствии, находит payload EtherRAT и запускает его.
PowerShell-загрузчик действует похожим образом. При этом существуют его вариации, которые изменяют names функций и encryption algorithms, но в целом сохраняют тот же operational flow — установка и выполнение EtherRAT.
Возможности EtherRAT
После запуска вредоносное ПО связывается с C2-server, отправляет свой source code и получает взамен новую encrypted version. В результате при каждом запуске формируется другой file hash, что затрудняет detection.
Возможности Trojan включают:
- выполнение произвольного JavaScript-code, полученного с C2;
- operations с files;
- modification registry;
- exfiltration data.
Фишинговая инфраструктура и ошибки конфигурации
Помимо EtherRAT, инфраструктура ранее использовалась для многочисленных phishing campaigns. Как правило, они начинались с emails, содержащих malicious documents, например PDF-files или Excel-files.
Такие документы побуждали пользователей переходить по links, ведущим на дополнительные phishing или malicious pages. Кроме того, были выявлены configuration errors, которые открывали доступ к частям phishing kits и позволяли изучать тактики, применяемые в этих campaigns.
Вывод
Обнаруженная инфраструктура демонстрирует признаки зрелой и гибкой malicious ecosystem: она сочетает delivery-механизмы, phishing assets и загрузчики, рассчитанные на устойчивое распространение EtherRAT. Использование Ethereum blockchain для поиска C2-address и постоянная генерация новых file hashes делают эту угрозу особенно сложной для блокировки и анализа.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
