Главная страница » Индикаторы компрометации
0
14 часов
Индикаторы компрометации

Новый высокоуровневый имплант EtherRAT атакует уязвимые веб-приложения через React2Shell

remote access Trojan

Исследователи обнаружили сложную вредоносную программу, использующую блокчейн Ethereum для управления, что указывает на возможную причастность северокорейских хакеров.

Описание

5 декабря 2025 года, всего через два дня после публичного раскрытия CVE-2025-55182 - критической уязвимости удаленного выполнения кода в React Server Components (RSC), - команда исследования угроз Sysdig (TRT) обнаружила ранее неизвестный имплант в скомпрометированном приложении Next.js. Этот вредоносный код, получивший название EtherRAT, радикально отличается от криптомайнеров и похитителей учетных данных, документированных ранее в рамках эксплуатации уязвимости React2Shell. Он представляет собой инструмент для обеспечения постоянного доступа, который объединяет методы как минимум трех известных кампаний в единую, ранее не встречавшуюся цепочку атаки.

EtherRAT использует смарт-контракты Ethereum для разрешения командного центра (C2, command-and-control), развертывает пять независимых механизмов обеспечения устойчивости в Linux и загружает собственную среду выполнения Node.js с официального сайта nodejs.org. Ранее такое сочетание возможностей в атаках через React2Shell не наблюдалось. Анализ Sysdig TRT выявил значительное сходство с инструментарием кампании "Contagious Interview", которую связывают с КНДР. Это позволяет предположить, что либо северокорейские акторы переключились на эксплуатацию React2Shell, либо между государственными группами происходит обмен сложными инструментами.

Эксплуатация уязвимости React2Shell (CVE-2025-55182)

Уязвимость CVE-2025-55182 представляет собой проблему небезопасной десериализации в RSC, позволяющую выполнять код без аутентификации с помощью одного HTTP-запроса. Раскрытая 3 декабря 2025 года исследователем Лахланом Дэвидсоном, она затрагивает React 19.x и фреймворки на его основе, включая Next.js 15.x и 16.x при использовании App Router. Агентство CISA (Кибербезопасность и инфраструктура США) внесло уязвимость в свой каталог известных эксплуатируемых уязвимостей (KEV, Known Exploited Vulnerabilities) 5 декабря 2025 года.

В течение нескольких часов после публичного раскрытия несколько вендоров задокументировали активную эксплуатацию. Китайские группы, такие как Earth Lamia и UNC5174, развертывали маяки Cobalt Strike, бэкдоры Sliver и Vshell. Оппортунистические акторы устанавливали криптомайнеры, в основном XMRig. Другие собирали учетные данные, нацеливаясь на конфигурационные файлы AWS и переменные среды. Однако полезные нагрузки, задокументированные ранее, имели общие черты: они полагались на команды PowerShell или оболочки, использовали жестко заданную инфраструктуру C2 и были сосредоточены на немедленной краже данных или майнинге. EtherRAT существенно отличается от этой модели.

Многоступенчатая цепочка атаки EtherRAT

Атака начинается с выполнения команды оболочки в кодировке base64 через React2Shell. Эта команда загружает и запускает скрипт, который развертывает JavaScript-имплант. Первая стадия включает устойчивый цикл загрузки с использованием curl, wget или python3 для максимальной совместимости. Вторая стадия, скрипт развертывания, загружает Node.js v20.10.0 с официального источника nodejs.org, что позволяет избежать обнаружения встроенных подозрительных двоичных файлов. Затем он записывает зашифрованный основной модуль и обфусцированный JavaScript-дроппер в скрытые директории с рандомизированными именами, после чего сам удаляется.

Третья стадия, обфусцированный дроппер, расшифровывает основную полезную нагрузку с помощью AES-256-CBC и жестко заданных ключевых материалов. Он же создает файл состояния со случайным идентификатором бота. Наконец, на четвертой стадии запускается основной имплант EtherRAT, который обеспечивает постоянный доступ через несколько механизмов.

Блокчейн-ориентированный командный центр

Наиболее отличительной чертой EtherRAT является использование смарт-контрактов Ethereum для получения актуального адреса C2 сервера. Вместо жестко заданного адреса, который можно заблокировать, вредоносная программа запрашивает контракт в блокчейне. Уникальность этой реализации заключается в механизме консенсуса: имплант параллельно опрашивает девять публичных RPC-нод Ethereum, собирает ответы и выбирает URL, возвращенный большинством. Это защищает от сценариев, когда одна скомпрометированная нода пытается перенаправить ботов на ложный сервер. Запросы к блокчейну выполняются каждые пять минут, что позволяет операторам динамически обновлять инфраструктуру C2.

Сложные механизмы устойчивости в Linux

EtherRAT устанавливает постоянное присутствие через пять независимых механизмов, что гарантирует выживание после перезагрузок. Во-первых, он создает службу systemd для пользователя со случайным шестнадцатеричным именем. Во-вторых, добавляет запись автозапуска в XDG. В-третьих, регистрирует задание в cron, которое запускает имплант через 30 секунд после перезагрузки. В-четвертых, модифицирует файл ".bashrc" для запуска при входе пользователя в оболочку. В-пятых, вносит аналогичные изменения в файл ".profile". Имплант отслеживает успешно установленные механизмы, чтобы избежать повторных попыток.

Уникальный механизм обновления полезной нагрузки

При первом успешном контакте с C2 EtherRAT отправляет свой исходный код на специальный эндпоинт и заменяет себя полученным в ответ кодом. Этот одноразовый процесс означает, что каждый развернутый имплант потенциально расходится с оригинальной полезной нагрузкой после активации, что значительно осложняет обнаружение на основе статических сигнатур. Назначение этого механизма может включать повторную обфускацию, обновление функциональности или противодействие анализу.

Сравнение с известными кампаниями и возможная атрибуция

Комбинация техник в EtherRAT перекликается с несколькими задокументированными кампаниями. Шаблон зашифрованного загрузчика близко соответствует вредоносному ПО BeaverTail, используемому в северокорейских кампаниях "Contagious Interview". Техника C2 на основе блокчейна ранее наблюдалась в зловредных пакетах npm, таких как colortoolsv2, которые также связывают с угрозой DPRK. При этом, в отличие от исторической практики Lazarus Group поставлять Node.js в составе полезной нагрузки, EtherRAT загружает среду выполнения с официального сайта, что демонстрирует эволюцию методов.

Однако существуют и ключевые отличия: новый вектор доставки через React2Shell, отсутствие кода для кражи криптокошельков и более агрессивная модель устойчивости. В то время как группа Google Threat Intelligence Group (GTIG) недавно приписала использование методов C2 на основе блокчейна северокорейскому актору UNC5342, прямого перекрытия кода с EtherRAT нет. Следовательно, нельзя с уверенностью утверждать, что за этой атакой стоит одна и та же группа. Возможно, это свидетельствует об обмене техниками между различными подразделениями DPRK или же о действиях другого сложного актора, намеренно смешивающего методы для усложнения атрибуции.

Рекомендации по обнаружению и защите

Для выявления активности EtherRAT специалисты по безопасности могут отслеживать несколько индикаторов. В сетевом трафике следует обращать внимание на исходящие соединения на IP-адрес 193.24.123.68 порт 3001, загрузки Node.js версии 20.10.0 и быстрые последовательные запросы к множеству Ethereum RPC эндпоинтов. Также подозрительными являются POST-запросы к методу JSON-RPC "eth_call" для контракта "0x22f96d61cf118efabc7c5bf3384734fad2f6ead4" и периодические GET-запросы с рандомизированными путями, имитирующими загрузку статических ресурсов. На уровне файловой системы ищутся скрытые директории в "$HOME/.local/share/" со случайными именами, службы systemd пользователя с шестнадцатеричными названиями и модификации файлов ".bashrc" или ".profile", содержащие команды "nohup" для запуска скрытых ".js" файлов.

Наиболее важным шагом для защиты является немедленное применение патчей для React, Next.js и других затронутых фреймворков, устраняющих CVE-2025-55182. Поскольку уязвимость уже активно эксплуатируется, промедление с обновлением создает серьезный риск компрометации. Обнаружение EtherRAT подчеркивает, как быстро угрозы эволюционируют, используя новейшие уязвимости и сочетая передовые техники для создания устойчивых и скрытных угроз.

Индикаторы компрометации

IPv4 Port Combinations

  • 193.24.123.68:3001

URLs

  • http://193.24.123.68:3001/gfdsgsdfhfsd_ghsfdgsfdgsdfg.sh

Contract Address

  • 0x22f96d61cf118efabc7c5bf3384734fad2f6ead4

Lookup Parameter

  • 0xE941A9b283006F5163EE6B01c1f23AA5951c4C8D

Function Selector

  • 0x7d434425
Комментарии: 0
Похожие записи
0
16.12.2025
Индикаторы компрометации

Уязвимость React2Shell (CVE-2025-55182) захватывает интернет вещей: тысячи устройств под атакой

information security
Менее чем через месяц после публикации деталей уязвимости CVE-2025-55182, получившей неофициальное название React2Shell, она стала массово использоваться злоумышленниками.
0
12.09.2025
Индикаторы компрометации

Киберразведка Sysdig обнаружила новый турецкий троянец ZynorRAT на языке Go

remote access Trojan
Группа киберразведки Sysdig Threat Research Team (TRT) в ходе упражнения по поиску угроз выявила ранее неизвестный вредоносный инструмент, получивший название ZynorRAT.
0
18.12.2025
Индикаторы компрометации

Уязвимость React2Shell: оппортунисты атаковали серверы через считанные часы после публикации CVE-2025-55182

information security
Компания Darktrace зафиксировала стремительную эксплуатацию критической уязвимости CVE-2025-55182 в React Server Components, известной как React2Shell. Злоумышленники начали массовые атаки на незащищённые