Обнаружена масштабная инфраструктура распространения вредоносного ПО EtherRAT с использованием блокчейна Ethereum

remote access Trojan

В ходе недавних мероприятий по активному поиску угроз специалистам удалось выявить ранее неизвестную кампанию, нацеленную на корпоративные и частные системы. Злоумышленники развернули обширную сеть сайтов, распространяющих троян удалённого доступа EtherRAT, написанный на Node.js. Особенность этой вредоносной программы заключается в том, что она использует блокчейн Ethereum для получения адреса командного сервера, что делает инфраструктуру управления крайне устойчивой к попыткам её заблокировать. Помимо самого трояна, обнаруженная сеть оказалась платформой для распространения фишинговых страниц, вредоносных документов и даже легитимного на первый взгляд ПО для удалённого администрирования.

Описание

Всё началось с поиска аномалий. Аналитики наткнулись на открытую директорию одного из сайтов, где хранились установочные пакеты MSI и PowerShell-скрипты с прогрессивной нумерацией от v1 до v10. Домашняя страница этого ресурса выглядела необычно - она была стилизована под хакерскую тематику, что сразу привлекло внимание. Дальнейший анализ показал, что это лишь верхушка айсберга. Сотни доменов, привязанных к одним и тем же IP-адресам, демонстрировали похожие страницы: одни маскировались под сайты вымышленных компаний, другие использовали стандартные шаблоны, третьи - ту самую "хакерскую" стилистику. Такая вариативность, по мнению исследователей, призвана затруднить автоматическое обнаружение ботами и поисковыми системами.

Сам троян EtherRAT - это компактный, но мощный инструмент. Его код составляет всего несколько сотен строк. Получив управление над машиной, злоумышленник может выполнять произвольный JavaScript-код, поступающий с командного сервера. Это открывает возможности для сбора данных, манипуляции файлами и реестром, а также для закрепления в системе. Главная инновация - метод получения адреса C2 (командного центра). Вредоносная программа обращается к смарт-контракту в сети Ethereum через JSON-RPC-запросы и извлекает оттуда URL управляющего сервера. Таким образом, даже если один сервер будет отключён, атакующий может просто обновить запись в блокчейне, и все заражённые машины автоматически переключатся на новый адрес.

Схема заражения, как правило, начинается с фишингового письма. Пользователю приходит документ - PDF или Excel - с просьбой перейти по ссылке, чтобы якобы открыть ещё один файл. Жертву перенаправляют на одну из страниц в обнаруженной инфраструктуре, где сначала выманивают адрес электронной почты, а затем доставляют полезную нагрузку. В проанализированных образцах загрузчиками выступали MSI-установщики или PowerShell-скрипты. Например, файл v9.msi содержал три компонента: командный скрипт BAT, скрипт-загрузчик Jscript и зашифрованный файл с самим EtherRAT. Процесс развёртывания многоступенчатый: сначала BAT-файл проверяет наличие Node.js на компьютере, при необходимости скачивает его с официального сайта и распаковывает. Затем с помощью XOR-шифрования восстанавливается полезная нагрузка, и она запускается через интерпретатор Node.js с использованием системной утилиты conhost.exe.

После запуска EtherRAT выполняет несколько характерных действий. Он копирует исполняемый файл Node.js в случайную папку внутри профиля пользователя, прописывает себя в автозагрузку через реестр, а затем отправляет свой собственный исходный код на командный сервер. В ответ сервер присылает новую, переобфусцированную версию этого же кода, которая перезаписывает файл на диске. В результате каждый запуск трояна приводит к изменению его хеша, что серьёзно усложняет сигнатурное обнаружение антивирусами. Для опроса командного сервера используются несколько публичных RPC-шлюзов Ethereum, причём URL-адреса запросов формируются случайным образом с разными расширениями (png, jpg, ico) и параметрами.

Инфраструктура, выявленная в ходе исследования, поражает своим размахом. Многие домены ранее были замечены за хостингом фишинговых страниц, направленных на кражу учётных данных от сервисов Microsoft Teams и других корпоративных приложений. На отдельных серверах обнаружены открытые директории с исходными кодами фишинговых наборов и инструментов для маскировки ссылок - так называемых URL Cloaker. Это говорит о том, что злоумышленники либо арендуют общую инфраструктуру, либо принадлежат к одной группировке, которая сдаёт мощности в субаренду другим киберпреступникам. Некоторые сайты даже размещали объявления о предоставлении услуг "пуленепробиваемого" хостинга, что окончательно подтверждает коммерческий характер всей этой сети.

Последствия такой кампании могут быть крайне серьёзными. EtherRAT позволяет злоумышленнику получить полный контроль над системой: выполнять команды, красть данные, устанавливать дополнительное вредоносное ПО. Устойчивость к блокировкам благодаря блокчейну делает этот троян особенно неприятным для корпоративной защиты. Для обнаружения подобных угроз требуется не только сигнатурный анализ, но и поведенческий мониторинг, а также контроль обращений к нестандартным RPC-эндпоинтам. Организациям стоит уделять повышенное внимание проверке входящих вложений и ссылок, а также настроить политики выполнения скриптов PowerShell и блокировки неизвестных установщиков MSI. Обнаруженная сеть продолжает функционировать, и, скорее всего, мы увидим новые волны атак, использующие те же методы и инфраструктуру.

Индикаторы компрометации

IPv4

  • 159.89.227.204
  • 185.221.216.121
  • 40.160.238.30
  • 43.163.233.166
  • 57.128.31.168
  • 82.165.65.244

Domains

  • aravisblog.com
  • bi.mkrjcsw.com
  • cambioefectivo.com
  • dn.eyqwj.com
  • dorqen.casa
  • ivorilla.cloud
  • kelvra.club
  • kibrisarazi.com
  • mx.nrlwz.com
  • publicspeakingtip.org
  • tranzed.org
  • vabelles.com

Комментарии: 0