Yakın zamanda gerçekleşen bir React2Shell saldırısında devreye alınan EtherRAT adlı yeni bir kötü amaçlı yazılım implantı, beş ayrı Linux kalıcılık mekanizmasını çalıştırıyor ve saldırganla iletişim için Ethereum akıllı sözleşmelerinden yararlanıyor.
Bulut güvenlik şirketi Sysdig'deki araştırmacılar, kötü amaçlı yazılımın Kuzey Kore'nin Bulaşıcı Mülakat kampanyalarında kullanılan araçlarıyla uyumlu olduğuna inanıyor.
CVE-2025-55182 olarak takip edilen kritik React2Shell güvenlik açığının açığa çıkmasından sadece iki gün sonra, güvenliği ihlal edilmiş bir Next.js uygulamasından EtherRAT'ı kurtardılar.
Sysdig, EtherRAT'ın blockchain tabanlı komuta ve kontrol (C2) iletişimi, çok katmanlı Linux kalıcılığı, anında yük yeniden yazılması ve tam Node.js çalışma zamanı kullanılarak kaçınma dahil olmak üzere gelişmiş özelliklerinin bir karışımını öne çıkarıyor.
Lazarus tarafından yürütülen "Bulaşıcı Mülakat" operasyonlarıyla önemli örtüşmeler olmasına rağmen, EtherRAT birçok temel açıdan farklıdır.
React2Shell, React Server Components (RSC) "Flight" protokolünde yer alan ve hazırlanmış bir HTTP isteği yoluyla kimliği doğrulanmamış uzaktan kod yürütülmesine izin veren maksimum önem derecesine sahip bir seri durumdan çıkarma kusurudur.
Bu kusur, React/Next.js çalıştıran çok sayıda bulut ortamını etkiliyor ve bu kusurun vahşi ortamda kullanılması, geçen hafta sonlarında kamuya açıklandıktan birkaç saat sonra başladı. Saldırılarda bundan yararlanan ilk tehdit aktörlerinden bazıları, Çin bağlantılı Earth Lamia ve Jackpot Panda gruplarıdır.
Bunu otomatik istismar izledi ve birden fazla sektörden en az 30 kuruluşun kimlik bilgilerini çalmak, kripto madenciliği yapmak ve emtia arka kapılarını dağıtmak amacıyla güvenliği ihlal edildi.
Sysdig, EtherRAT'ın hedefte base64 kodlu bir kabuk komutunu yürütmek için React2Shell'in kullanılmasıyla başlayan çok aşamalı bir saldırı zinciri kullandığını söylüyor.
Komut, yedek olarak curl, wget veya python3 içeren kötü amaçlı bir kabuk komut dosyasını (s.sh) indirmeye çalışır ve başarılı olana kadar her 300 saniyede bir döngüye girer. Komut dosyası getirildiğinde kontrol edilir, yürütülebilir bir dosyaya dönüştürülür ve başlatılır.
Komut dosyası, kullanıcının $HOME/.local/share/ konumunda gizli bir dizin oluşturur ve burada meşru bir Node.js v20.10.0 çalışma zamanını doğrudan nodejs.org'dan indirir ve çıkarır.
Daha sonra, indirilen Node ikili dosyası kullanılarak yürütülen şifrelenmiş bir veri yükü blobunu ve gizlenmiş bir JavaScript damlalığını yazar ve ardından kendisini siler.
Gizlenmiş JavaScript bırakıcısı (.kxnzl4mtez.js) şifrelenmiş blogu okur, sabit kodlanmış bir AES-256-CBC anahtarını kullanarak şifresini çözer ve sonucu başka bir gizli JavaScript dosyası olarak yazar.
Şifresi çözülen yük, EtherRAT implantıdır. Önceki aşamada yüklenen Node.js ikili dosyası kullanılarak dağıtılır.
EtherRAT, C2 işlemleri için operasyonel çok yönlülük ve yayından kaldırmalara karşı direnç sağlayan Ethereum akıllı sözleşmelerini kullanır.
Dokuz halka açık Ethereum RPC sağlayıcısını paralel olarak sorgular ve çoğunluk yanıtı sonucunu seçer, bu da tek düğüm zehirlenmesini veya çökmeyi önler.
Kötü amaçlı yazılım, her 500 ms'de bir C2'ye rastgele CDN benzeri URL'ler gönderiyor ve operatörlerden döndürülen JavaScript'i, tamamen etkileşimli bir Node.js kabuğu olarak çalışan bir mekanizmada bir AsyncFunction yapıcısı kullanarak yürütüyor.
Kuzey Koreli bilgisayar korsanları daha önce kötü amaçlı yazılım dağıtmak ve dağıtmak için akıllı sözleşmeleri kullanmıştı. Tekniğe EtherHiding adı veriliyor ve daha önce Google ve GuardioLabs raporlarında anlatılmıştı.
Ayrıca Sysdig araştırmacıları, "EtherRAT'ta kullanılan şifreli yükleyici modelinin, Bulaşıcı Röportaj kampanyalarında kullanılan Kuzey Kore'ye bağlı BeaverTail kötü amaçlı yazılımıyla yakından eşleştiğini" belirtiyor.
Sysdig, EtherRAT kötü amaçlı yazılımının, artıklık için beş katman kurduğu için Linux sistemlerinde son derece agresif bir kalıcılığa sahip olduğunu söylüyor:
Kötü amaçlı yazılımın operatörü, çoklu kalıcılık yöntemleri kullanarak, sistem yeniden başlatıldıktan ve bakımdan sonra bile güvenliği ihlal edilen ana bilgisayarlara erişmeye devam etmelerini sağlar.
EtherRAT'ın bir diğer benzersiz özelliği de kaynak kodunu bir API uç noktasına göndererek kendi kendini güncelleyebilme yeteneğidir. Kötü amaçlı yazılım, aynı yeteneklere sahip ancak farklı gizleme kullanan yedek kodu alır, bu kodu kendi üzerine yazar ve ardından güncellenmiş yük ile yeni bir süreç oluşturur.
Sysdig, bu mekanizmanın kötü amaçlı yazılımın statik tespitten kaçmasına yardımcı olduğunu ve ayrıca analizin engellenmesine veya göreve özel işlevsellik getirilmesine yardımcı olabileceğini öne sürüyor.
React2Shell'in çok sayıda aktör tarafından kötüye kullanıldığı göz önüne alındığında, sistem yöneticilerinin mümkün olan en kısa sürede güvenli bir React/Next.js sürümüne yükseltmeleri önerilir.
Sysdig, raporunda EtherRAT'ın hazırlama altyapısı ve Ethereum sözleşmeleriyle ilişkili risk göstergelerinin (IoC'ler) kısa bir listesini sunar.
Araştırmacılar, kullanıcıların listelenen kalıcılık mekanizmalarını kontrol etmelerini, Ethereum RPC trafiğini izlemelerini, uygulama günlüklerini incelemelerini ve kimlik bilgilerini döndürmelerini öneriyor.
Bozuk IAM yalnızca bir BT sorunu değildir; etkisi tüm işletmenize yayılır.
Bu pratik kılavuz, geleneksel IAM uygulamalarının neden modern taleplere ayak uydurmakta başarısız olduğunu, "iyi" IAM'nin neye benzediğine dair örnekleri ve ölçeklenebilir bir strateji oluşturmak için basit bir kontrol listesini kapsar.
React2Shell kusuru 30 kuruluşu ihlal edecek şekilde istismar edildi ve 77 bin IP adresi savunmasız kaldı
Çin bağlantılı saldırılarda aktif olarak kullanılan kritik React2Shell kusuru
Kuzey Koreli bilgisayar korsanları, blockchaindeki kötü amaçlı yazılımları gizlemek için EtherHiding'i kullanıyor
Critical React, Next.js kusuru, bilgisayar korsanlarının sunucularda kod çalıştırmasına izin veriyor
Kuzey Kore, mühendisleri sahte BT çalışanı planıyla kimlik kiralamaya ikna ediyor
Kaynak: Bleeping Computer