В ходе недавних мероприятий по активному поиску угроз специалистам удалось выявить ранее неизвестную кампанию, нацеленную на корпоративные и частные системы. Злоумышленники развернули обширную сеть сайтов, распространяющих троян удалённого доступа EtherRAT, написанный на Node.js. Особенность этой вредоносной программы заключается в том, что она использует блокчейн Ethereum для получения адреса командного сервера, что делает инфраструктуру управления крайне устойчивой к попыткам её заблокировать. Помимо самого трояна, обнаруженная сеть оказалась платформой для распространения фишинговых страниц, вредоносных документов и даже легитимного на первый взгляд ПО для удалённого администрирования.
Описание
Всё началось с поиска аномалий. Аналитики наткнулись на открытую директорию одного из сайтов, где хранились установочные пакеты MSI и PowerShell-скрипты с прогрессивной нумерацией от v1 до v10. Домашняя страница этого ресурса выглядела необычно - она была стилизована под хакерскую тематику, что сразу привлекло внимание. Дальнейший анализ показал, что это лишь верхушка айсберга. Сотни доменов, привязанных к одним и тем же IP-адресам, демонстрировали похожие страницы: одни маскировались под сайты вымышленных компаний, другие использовали стандартные шаблоны, третьи - ту самую "хакерскую" стилистику. Такая вариативность, по мнению исследователей, призвана затруднить автоматическое обнаружение ботами и поисковыми системами.
Сам троян EtherRAT - это компактный, но мощный инструмент. Его код составляет всего несколько сотен строк. Получив управление над машиной, злоумышленник может выполнять произвольный JavaScript-код, поступающий с командного сервера. Это открывает возможности для сбора данных, манипуляции файлами и реестром, а также для закрепления в системе. Главная инновация - метод получения адреса C2 (командного центра). Вредоносная программа обращается к смарт-контракту в сети Ethereum через JSON-RPC-запросы и извлекает оттуда URL управляющего сервера. Таким образом, даже если один сервер будет отключён, атакующий может просто обновить запись в блокчейне, и все заражённые машины автоматически переключатся на новый адрес.
Схема заражения, как правило, начинается с фишингового письма. Пользователю приходит документ - PDF или Excel - с просьбой перейти по ссылке, чтобы якобы открыть ещё один файл. Жертву перенаправляют на одну из страниц в обнаруженной инфраструктуре, где сначала выманивают адрес электронной почты, а затем доставляют полезную нагрузку. В проанализированных образцах загрузчиками выступали MSI-установщики или PowerShell-скрипты. Например, файл v9.msi содержал три компонента: командный скрипт BAT, скрипт-загрузчик Jscript и зашифрованный файл с самим EtherRAT. Процесс развёртывания многоступенчатый: сначала BAT-файл проверяет наличие Node.js на компьютере, при необходимости скачивает его с официального сайта и распаковывает. Затем с помощью XOR-шифрования восстанавливается полезная нагрузка, и она запускается через интерпретатор Node.js с использованием системной утилиты conhost.exe.
После запуска EtherRAT выполняет несколько характерных действий. Он копирует исполняемый файл Node.js в случайную папку внутри профиля пользователя, прописывает себя в автозагрузку через реестр, а затем отправляет свой собственный исходный код на командный сервер. В ответ сервер присылает новую, переобфусцированную версию этого же кода, которая перезаписывает файл на диске. В результате каждый запуск трояна приводит к изменению его хеша, что серьёзно усложняет сигнатурное обнаружение антивирусами. Для опроса командного сервера используются несколько публичных RPC-шлюзов Ethereum, причём URL-адреса запросов формируются случайным образом с разными расширениями (png, jpg, ico) и параметрами.
Инфраструктура, выявленная в ходе исследования, поражает своим размахом. Многие домены ранее были замечены за хостингом фишинговых страниц, направленных на кражу учётных данных от сервисов Microsoft Teams и других корпоративных приложений. На отдельных серверах обнаружены открытые директории с исходными кодами фишинговых наборов и инструментов для маскировки ссылок - так называемых URL Cloaker. Это говорит о том, что злоумышленники либо арендуют общую инфраструктуру, либо принадлежат к одной группировке, которая сдаёт мощности в субаренду другим киберпреступникам. Некоторые сайты даже размещали объявления о предоставлении услуг "пуленепробиваемого" хостинга, что окончательно подтверждает коммерческий характер всей этой сети.
Последствия такой кампании могут быть крайне серьёзными. EtherRAT позволяет злоумышленнику получить полный контроль над системой: выполнять команды, красть данные, устанавливать дополнительное вредоносное ПО. Устойчивость к блокировкам благодаря блокчейну делает этот троян особенно неприятным для корпоративной защиты. Для обнаружения подобных угроз требуется не только сигнатурный анализ, но и поведенческий мониторинг, а также контроль обращений к нестандартным RPC-эндпоинтам. Организациям стоит уделять повышенное внимание проверке входящих вложений и ссылок, а также настроить политики выполнения скриптов PowerShell и блокировки неизвестных установщиков MSI. Обнаруженная сеть продолжает функционировать, и, скорее всего, мы увидим новые волны атак, использующие те же методы и инфраструктуру.
Индикаторы компрометации
IPv4
- 159.89.227.204
- 185.221.216.121
- 40.160.238.30
- 43.163.233.166
- 57.128.31.168
- 82.165.65.244
Domains
- aravisblog.com
- bi.mkrjcsw.com
- cambioefectivo.com
- dn.eyqwj.com
- dorqen.casa
- ivorilla.cloud
- kelvra.club
- kibrisarazi.com
- mx.nrlwz.com
- publicspeakingtip.org
- tranzed.org
- vabelles.com