Các nhà nghiên cứu tại Công ty bảo mật đám mây Sysdig nhận định rằng, phần mềm độc hại này có liên quan đến các công cụ mà các tin tặc Triều Tiên sử dụng trong các chiến dịch Contagious Interview.
Sysdig đã khôi phục mã của EtherRAT từ một ứng dụng Next.js bị xâm nhập, chỉ hai ngày sau khi lỗ hổng bảo mật nghiêm trọng React2Shell với mã định danh CVE-2025-55182 được công bố.
Công ty nhấn mạnh sự kết hợp các tính năng tinh vi của EtherRAT, bao gồm giao tiếp với máy chủ điều khiển và ra lệnh (C2) dựa trên blockchain, khả năng duy trì hoạt động nhiều lớp trên Linux, ghi lại dữ liệu tức thời và che giấu sự phát hiện của các giải pháp bảo mật bằng cách sử dụng môi trường Node.js.
Mặc dù có những điểm trùng lặp đáng kể với các hoạt động Contagious Interview do tin tặc Lazarus thực hiện, EtherRAT vẫn khác biệt ở một số khía cạnh quan trọng.
React2Shell là lỗ hổng giải tuần tự hóa mức độ nghiêm trọng tối đa trong giao thức “Flight” của React Server Components (RSC), cho phép thực thi mã từ xa không xác thực thông qua yêu cầu HTTP được tạo thủ công.
Lỗ hổng này ảnh hưởng đến một lượng lớn môi trường điện toán đám mây đang chạy React/Next.js, việc khai thác nó trên thực tế đã bắt đầu vài giờ sau khi được công bố vào đầu tháng 12. Một số nhóm tội phạm mạng đầu tiên lợi dụng lỗ hổng này trong các cuộc tấn công là các nhóm có liên hệ với Trung Quốc như Earth Lamia và Jackpot Panda.
Sau đó, các cuộc tấn công liên tiếp được ghi nhận, ít nhất 30 tổ chức thuộc nhiều lĩnh vực khác nhau đã bị xâm nhập và rò rỉ thông tin đăng nhập, khai thác tiền điện tử và cài đặt các backdoor độc hại.
Chuỗi tấn công EtherRAT
Theo Sysdig, EtherRAT sử dụng chuỗi tấn công nhiều giai đoạn, bắt đầu bằng việc khai thác lỗ hổng React2Shell để thực thi lệnh shell mã hóa base64 trên mục tiêu. Lệnh này cố gắng tải xuống một tập lệnh shell độc hại (s[.]sh) với các phương án dự phòng là curl, wget hoặc python3, lặp lại sau 300 giây cho đến khi thành công. Khi tập lệnh được tải xuống, nó sẽ được kiểm tra, chuyển đổi thành tệp thực thi và chạy.
.png)
Script thực thi
Đoạn mã này tạo một thư mục ẩn trong $HOME/.local/share/ của người dùng, nơi nó tải xuống và giải nén môi trường chạy Node.js v20.10.0 hợp lệ trực tiếp từ nodejs.org. Sau đó, nó ghi một payload blob được mã hóa và một nhúng JavaScript độc hại bằng cách sử dụng tệp nhị phân Node đã tải xuống, rồi tự xóa chính nó. JavaScript này được làm rối nghĩa (.kxnzl4mtez.js), giải mã blob bằng khóa AES-256-CBC và ghi kết quả dưới dạng một tệp JavaScript ẩn khác.
Đoạn mã này chính là phần mềm độc hại EtherRAT, nó được triển khai bằng cách sử dụng tệp nhị phân Node.js đã cài đặt ở giai đoạn trước đó.
Dấu hiệu lây nhiễm
Đáng chú ý, EtherRAT sử dụng hợp đồng thông minh Ethereum cho các hoạt động C2, mang lại tính linh hoạt trong cơ chế vận hành. Nó truy vấn đồng thời chín nhà cung cấp RPC công khai của Ethereum và chọn kết quả phản hồi chiếm đa số, điều này ngăn chặn việc lây nhiễm một nút duy nhất hoặc sinkholing.
Phần mềm độc hại này gửi các URL ngẫu nhiên giống như CDN đến máy chủ C2 cứ sau 500 ms, đồng thời thực thi mã JavaScript được trả về từ các tác nhân điều hành thông qua AsyncFunction constructor.
Tạo URL ngẫu nhiên
Các tin tặc Triều Tiên đã từng sử dụng hợp đồng thông minh để phân phối phần mềm độc hại. Kỹ thuật này được gọi là EtherHiding và được mô tả trước đây trong các báo cáo từ Google và GuardioLabs. Ngoài ra, các nhà nghiên cứu của Sysdig lưu ý rằng “mẫu loader mã hóa được sử dụng trong EtherRAT rất giống với phần mềm độc hại BeaverTail liên kết với các tin tặc được sử dụng trong các chiến dịch Contagious Interview”.
Tính năng duy trì kết nối EtherRAT trên Linux
Sysdig nhận xét rằng phần mềm độc hại EtherRAT có khả năng duy trì hoạt động cực kỳ mạnh mẽ trên các hệ thống Linux, vì nó cài đặt năm lớp dự phòng: Cron jobs, bashrc injection, XDG autostart, dịch vụ Systemd, Profile injection. Bằng cách sử dụng nhiều phương pháp duy trì quyền truy cập, kẻ điều hành phần mềm độc hại đảm bảo chúng vẫn tiếp tục có quyền truy cập vào các máy chủ bị xâm nhập, ngay cả sau khi khởi động lại hệ thống và bảo trì.
Một tính năng độc đáo khác của EtherRAT là khả năng tự cập nhật, phần mềm độc hại này gửi mã nguồn của nó đến một điểm cuối API. Sau đó, EtherRAT nhận được mã thay thế có cùng tính năng nhưng sử dụng phương pháp mã hóa khác, ghi đè lên chính nó bằng mã mới này, tiếp theo tạo ra một tiến trình mới với payload được cập nhật. Sysdig đưa ra giả thuyết rằng, cơ chế này giúp phần mềm độc hại né tránh việc phát hiện tĩnh và cũng có thể giúp ngăn chặn việc phân tích khá hiệu quả.
Do nhiều đối tượng đang khai thác lỗ hổng React2Shell, các quản trị viên hệ thống được khuyến cáo nên nâng cấp lên phiên bản React/Next.js an toàn càng sớm càng tốt. Trong báo cáo, Sysdig cung cấp danh sách các chỉ số xâm phạm (IoC) liên quan đến cơ sở hạ tầng của EtherRAT và các hợp đồng Ethereum.
Các nhà nghiên cứu khuyến nghị người dùng nên kiểm tra các cơ chế duy trì kết nối được liệt kê, theo dõi lưu lượng RPC của Ethereum, xem lại nhật ký ứng dụng và thay đổi thông tin đăng nhập thường xuyên.
