СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Продукты Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
3 мая
#ИБ

GitHub, SEO и EtherRAT: новая кампания против админов

В марте 2026 года Atos Threat Research Center выявил высокоорганизованную criminal hacking campaign, которая целенаправленно охотится за ИТ-специалистами с повышенными правами доступа — в первую очередь за corporate administrators и security analysts. По оценке исследователей, злоумышленники выстроили многоэтапную схему доставки malware, сочетающую SEO poisoning, GitHub repositories и вредоносные MSI installers, маскирующиеся под легитимные administrative tools.

Главная особенность кампании — ее устойчивость. Преступники используют двухуровневую инфраструктуру: на видимой стороне остаются безобидные и оптимизированные под поисковые системы repositories, а вредоносный code размещается на secondary repositories, что затрудняет удаление и позволяет сохранять campaign даже после попыток блокировки.

Как устроена схема распространения

По данным Atos, злоумышленники манипулируют результатами поиска, продвигая вредоносные страницы под запросы, связанные с популярными административными utilities. Пользователь, полагая, что скачивает безопасный инструмент, получает MSI installer, замаскированный под такие продукты, как:

  • PsExec;
  • AzCopy;
  • Sysmon.

Такой подход особенно опасен в корпоративной среде: security specialists и system administrators могут сами загрузить вредоносный package во время поиска средств для диагностики или обслуживания инфраструктуры.

EtherRAT: скрытность, закрепление и lateral movement

Доставляемое в рамках campaign malware идентифицируется как EtherRAT. Это RAT, ориентированный на stealth, persistence и дальнейшее продвижение внутри сети после initial compromise.

Исследователи отмечают, что EtherRAT особенно опасен для systems с повышенными правами доступа. После запуска он использует установщики-приманки и стремится закрепиться в среде таким образом, чтобы оставаться незаметным для стандартных средств detection.

Среди ключевых целей malware — облегчение lateral movement в corporate networks после проникновения. Иными словами, вредоносная активность направлена не на разовую атаку, а на долгосрочное присутствие внутри инфраструктуры.

Блокчейн как канал управления

Критическая особенность EtherRAT — децентрализованный C2 mechanism, основанный на technology blockchain. После запуска malware обращается к public RPC endpoint Ethereum, связанному с конкретным smart contract address, и получает актуальный адрес management server.

Это решение дает злоумышленникам важное преимущество: они могут менять command infrastructure без повторного развертывания malware на уже зараженных systems. В результате традиционные меры защиты, ориентированные на блокировку доменов или IP addresses, оказываются менее эффективными.

Использование Ethereum для получения адресов C2 повышает устойчивость campaign и усложняет ее нейтрализацию.

Многоступенчатая архитектура атаки

Atos описывает malware как многоэтапный механизм, в котором первая стадия представляет собой encrypted loader script, запускаемый с высокими privileges. Он подготавливает environment для последующих действий, а дальнейшие этапы выполняются в memory.

Для повышения скрытности RAT прячется внутри legitimate Windows processes и взаимодействует с C2 через замаскированные requests. Такой low-profile behavior снижает вероятность обнаружения и позволяет поддерживать устойчивый контроль над зараженными host systems без заметных disruptions.

Связь с Lazarus Group

Исследователи Atos связали эту campaign с предыдущими operations, которые, по их данным, ассоциируются с state-sponsored actors, в частности с Lazarus Group. Это указывает на методичный и долгосрочный подход, ориентированный не на быструю exfiltration, а на скрытое закрепление в инфраструктуре.

По сути, речь идет об эволюции tactics, где на первый план выходят:

  • устойчивость;
  • уклонение от detection;
  • оперативное терпение;
  • контроль над зараженной средой в долгую.

Что это значит для корпоративной безопасности

Появление EtherRAT демонстрирует, насколько сильно изменились современные cyber threats. Атакующие все чаще комбинируют social engineering, search manipulation и sophisticated command infrastructure, чтобы обойти стандартные барьеры защиты.

Atos уже предпринимает proactive measures по пресечению campaign, включая formal takedown actions против выявленных malicious schemes. Их цель — не только остановить дальнейшую эксплуатацию, но и снизить риски для corporate environments, где подобные threats могут привести к длительному скрытому присутствию злоумышленников.

Вывод: кампания EtherRAT показывает, что современные intrusions все чаще строятся вокруг stealth, resilience и infrastructure flexibility — именно эти свойства становятся для злоумышленников важнее, чем скорость атаки.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз (бренд RST Cloud Russia) – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: