Η καμπάνια EtherRAT χρησιμοποιεί δηλητηρίαση SEO και προσόψεις GitHub για να στοχεύσει διαχειριστές επιχειρήσεων

Μια νέα και καλά σχεδιασμένη καμπάνια κακόβουλου λογισμικού στοχεύει ενεργά τους διαχειριστές επιχειρήσεων, τους μηχανικούς DevOps και τους αναλυτές ασφαλείας, παραβιάζοντας τις καθημερινές τους συνήθειες αναζήτησης.

Αντί να χρησιμοποιούν μαζικό ηλεκτρονικό ψάρεμα ή ευρεία κύματα ανεπιθύμητης αλληλογραφίας, οι παράγοντες απειλών πίσω από αυτήν τη λειτουργία έχουν δημιουργήσει προσεκτικά μια αλυσίδα παράδοσης που θέτει το επικίνδυνο λογισμικό απευθείας μπροστά σε επαγγελματίες πληροφορικής υψηλών προνομίων όταν αναζητούν εργαλεία ρουτίνας διαχείρισης στο διαδίκτυο.

Η καμπάνια λειτουργεί δηλητηριάζοντας τα αποτελέσματα των μηχανών αναζήτησης σε πολλές μεγάλες πλατφόρμες, συμπεριλαμβανομένων των Bing, Yahoo, DuckDuckGo και Yandex.

Όταν το προσωπικό πληροφορικής αναζητά εργαλεία όπως το PsExec, το AzCopy, το Sysmon, το LAPS ή το KustoExplorer, τα αποτελέσματα αναζήτησης εμφανίζονται ψεύτικοι χώροι αποθήκευσης GitHub με επαγγελματική εμφάνιση στο επάνω μέρος της σελίδας.

Αυτά τα αποθετήρια εμφανίζονται καθαρά και νόμιμα, χωρίς να περιέχουν κακόβουλο κώδικα στην επιφάνειά τους.

Λειτουργούν καθαρά ως πύλη, ανακατευθύνοντας αθόρυβα ανυποψίαστους χρήστες σε έναν δευτερεύοντα, κρυφό λογαριασμό GitHub όπου φιλοξενείται και διανέμεται το πραγματικό κακόβουλο λογισμικό.

Οι αναλυτές της Atos εντόπισαν αυτήν την εξελιγμένη, υψηλής ανθεκτικότητας κακόβουλη εκστρατεία τον Μάρτιο.

Οι ερευνητές επιβεβαίωσαν ότι η εκστρατεία παραμένει ιδιαίτερα ενεργή και έχει υποστεί σημαντική τεχνική ωρίμανση από την έναρξή της, με αρκετές διακριτές παραλλαγές και πρόσθετη υποδομή διοίκησης και ελέγχου (C2) που έχουν εντοπιστεί με την πάροδο του χρόνου.

Το κακόβουλο λογισμικό στο επίκεντρο αυτής της καμπάνιας είναι ένας πολλαπλών σταδίων, χωρίς αρχεία τύπου Remote Access Trojan (RAT) γραμμένος σε JavaScript.

Οι ερευνητές της Atos επιβεβαίωσαν ότι πρόκειται για το EtherRAT, μια πρόσφατα αναδυόμενη απειλή που χρησιμοποιεί το blockchain Ethereum για να αποθηκεύσει τη ζωντανή διεύθυνση του διακομιστή C2, αποτρέποντας αποτελεσματικά τις παραδοσιακές προσπάθειες κατάργησης τομέα ή αποκλεισμού IP.

Το κακόβουλο λογισμικό διανέμεται μέσω κακόβουλων προγραμμάτων εγκατάστασης MSI μεταμφιεσμένων σε εργαλεία όπως τα PsExec, AzCopy, Sysmon, LAPS και KustoExplorer, τα οποία χρησιμοποιούνται σχεδόν αποκλειστικά από προσωπικό με αυξημένες άδειες δικτύου και συστήματος.

Μια επιτυχής μόλυνση στο σταθμό εργασίας ενός διαχειριστή μπορεί να παρέχει στους παράγοντες απειλών τα κλειδιά για ένα ολόκληρο εταιρικό περιβάλλον.

Το ψυχολογικό στοιχείο αυτής της εκστρατείας είναι ιδιαίτερα επιθετικό. Πολλά από τα εργαλεία που πλαστοπροσωπούνται είναι τα ίδια με αυτά που χρησιμοποιούν οι επαγγελματίες ασφάλειας για να διερευνήσουν και να ανταποκριθούν σε κακόβουλη δραστηριότητα.

Αυτό δημιουργεί μια ειρωνική κατάσταση όπου ένας υπερασπιστής, προσπαθώντας να διαγνώσει ένα αντιληπτό ζήτημα χρησιμοποιώντας ένα εργαλείο όπως το Process Explorer ή το TCPView, εισάγει κατά λάθος την ίδια την απειλή που προσπαθούσε να βρει.

Αλυσίδα παράδοσης GitHub διπλού σταδίου

Η καμπάνια χρησιμοποιεί μια προσεκτικά διαχωρισμένη αρχιτεκτονική παράδοσης δύο σταδίων που έχει σχεδιαστεί για να παραμένει ζωντανή ακόμα και όταν αφαιρούνται τμήματα της.

Το πρώτο αποθετήριο GitHub χρησιμεύει μόνο ως μια καθαρή πρόσοψη. Είναι βελτιστοποιημένο για SEO και περιέχει ένα επαγγελματικό αρχείο README χωρίς κακόβουλο κώδικα, χτίζοντας αρχική εμπιστοσύνη τόσο με τους χρήστες όσο και με εργαλεία ασφαλείας.

Σε αυτό το README είναι ενσωματωμένος ένας σύνδεσμος που οδηγεί σε έναν δεύτερο, κρυφό λογαριασμό GitHub. Αυτό το δευτερεύον αποθετήριο φιλοξενεί το πραγματικό κακόβουλο ωφέλιμο φορτίο MSI.

Διαχωρίζοντας τη βιτρίνα που είναι ορατή με SEO από τον λογαριασμό παράδοσης ωφέλιμου φορτίου, οι φορείς απειλών μπορούν να περιστρέψουν γρήγορα τα αποθετήρια διανομής τους εάν επισημανθούν, ενώ η κύρια πρόσοψη με ευρετήριο αναζήτησης παραμένει ενεργή και ανέγγιχτη.

Από τις αρχές Δεκεμβρίου 2024 έως τον Απρίλιο του 2026, οι φορείς απειλών ανέπτυξαν 17 ξεχωριστές προσόψεις GitHub, καθεμία από τις οποίες πλαστογραφούσε ένα διαφορετικό εργαλείο διαχείρισης ή προγραμματιστή, υποδεικνύοντας μια συνεχή προσπάθεια για μεγιστοποίηση της ορατότητας των μηχανών αναζήτησης και τη σύλληψη ποικίλων θυμάτων υψηλών προνομίων.

Όταν ένα θύμα κατεβάζει και εκτελεί το MSI, εξάγονται τέσσερα αρχεία και εκκινείται ένα σενάριο δέσμης CMD μέσω μιας προσαρμοσμένης ενέργειας στο προνόμιο SYSTEM αμέσως μετά την εξαγωγή του αρχείου.

Το σημείο εισόδου είναι ένα σε μεγάλο βαθμό ασαφές σενάριο δέσμης των Windows που ξεκίνησε με το προνόμιο SYSTEM από την προσαρμοσμένη ενέργεια MSI αμέσως μετά την εξαγωγή του αρχείου.

Το πρωταρχικό του Ο μηχανισμός συσκότισης διαχωρίζει όλα τα ευαίσθητα ονόματα εντολών, συμπεριλαμβανομένων των curl, tar, copy, start και cmd, σε πολλαπλές εκχωρήσεις μεταβλητών SET που συνδέονται αθόρυβα κατά τη διάρκεια εκτέλεσης, διασφαλίζοντας ότι δεν εμφανίζονται αναγνωρίσιμες λέξεις-κλειδιά στο ακατέργαστο αρχείο και νικώντας την απλή στατική ανάλυση βασισμένη σε συμβολοσειρές.

Το στάδιο 2 είναι ένα ελάχιστο σενάριο Node.js, χωρίς εμπόδια και πλήρως αναγνώσιμο, που δεν αποθηκεύεται ποτέ στο δίσκο.

Ο κύριος στόχος του είναι να διαβάσει ένα αρχείο που περιέχει ένα κρυπτογραφημένο ωφέλιμο φορτίο δεύτερου σταδίου, να το αποκρυπτογραφήσει χρησιμοποιώντας ένα σκληρό κλειδί και ένα διάνυσμα προετοιμασίας (IV) και να το εκτελέσει στη μνήμη. Δημιουργεί επίσης επιμονή μέσω ενός κλειδιού εκτέλεσης μητρώου.

Το Στάδιο 3 είναι το κύριο ωφέλιμο φορτίο του κακόβουλου λογισμικού, ένα αρχείο JavaScript που εκτελείται αθόρυβα στο παρασκήνιο σε κάθε εκκίνηση συστήματος μέσα στο conhost.exe, ένα νόμιμο Διεργασία των Windows, επομένως δεν ξεχωρίζει στη Διαχείριση εργασιών.

Οι οργανισμοί μπορούν να λάβουν τα ακόλουθα βήματα για να μειώσουν τον κίνδυνο που ενέχει αυτή η καμπάνια:

• Αποκλεισμός της πρόσβασης στα δημόσια τελικά σημεία RPC Ethereum (ETH) που χρησιμοποιούνται από το EtherRAT, που αναφέρονται στην ενότητα Παραρτήματα του αποθετηρίου Atos TRC GitHub.
• Ελέγξτε τα αρχεία καταγραφής ιστορικού δικτύου για να προσδιορίσετε τυχόν εξερχόμενες επικοινωνίες με τα καταληκτικά σημεία RPC ETH και τους αναγνωρισμένους ιστορικούς τομείς C2.
• Αύξηση της ευαισθητοποίησης του προσωπικού πληροφορικής σχετικά με τους κινδύνους από την προμήθεια κρίσιμων βοηθητικών προγραμμάτων από τα αποτελέσματα των μηχανών αναζήτησης. απαιτούν τη χρήση επαληθευμένων εσωτερικών κέντρων λογισμικού ή άμεσων, πιστοποιημένων πυλών προμηθευτών για όλα τα εργαλεία διαχείρισης.
• Αναζητήστε μοτίβα συμπεριφοράς στην τηλεμετρία: επαναλαμβανόμενα beacon υψηλής συχνότητας (κάθε ~500ms) σε ύποπτους εξωτερικούς τομείς, περιοδικά εξερχόμενα αιτήματα (κάθε ~5 λεπτά) σε δημόσια τελικά σημεία ETH RPC και ύποπτα δέντρα διεργασιών που περιλαμβάνουν διεργασίες node.exe που εκτελούν εντολές φλοιού.
• Αντιμετωπίστε οποιαδήποτε χρήση του conhost.exe με το όρισμα headless ως πιθανή ένδειξη των δευτερευόντων σταδίων του ωφέλιμου φορτίου EtherRAT.