Im Rahmen unserer jüngsten Aktivitäten zur Bedrohungssuche haben wir festgestellt, dass die Malware „EtherRAT“ über eine Website mit einer seltsam gestalteten Startseite verbreitet wurde. Über diese Startseite konnten wir eine umfangreiche bösartige Infrastruktur aufdecken, über die Malware, schädliche Dokumente, Remote-Desktop-Software und Phishing-Seiten verbreitet wurden.
EtherRAT ist ein in Node.js entwickelter RAT, der es einem Angreifer ermöglicht, die vollständige Kontrolle über den Rechner zu erlangen und beliebigen Code auszuführen, der vom Command-and-Control-Server (C2) zurückgegeben wird. Die Malware nutzt die Ethereum-Blockchain, um den C2-Server zu ermitteln – daher der Namensbestandteil „Ether“. EtherRAT wird in der Regel über MSI-, PowerShell- oder JavaScript-Skripte verbreitet.
Ein offenes Verzeichnis, das EtherRAT verbreitet: Hier hat alles begonnen
Bei der Suche nach Bedrohungen stießen wir auf ein offenes Verzeichnis, über das MSI-Installationsprogramme und PowerShell-Skripte verbreitet wurden, die letztendlich EtherRAT installierten. In den analysierten Fällen wurden die PowerShell-Skripte und MSI-Installationsprogramme aus einem Ordner namens „/install“ verbreitet. Die Versionen sind fortlaufend nummeriert und reichen von v1 bis v10.
Die angezeigte Startseite weckte unser Interesse und veranlasste uns, uns näher mit der Kampagne zu befassen.
Bei der Analyse von Domains und zugehörigen IP-Adressen im Zusammenhang mit der EtherRAT-Verbreitung haben wir weitere ähnliche Startseiten mit einem Hacking-Motiv entdeckt. Sie schienen Teil einer größeren Verbreitungskette zu sein, über die auch Phishing-Software, Fernsteuerungsprogramme und andere Malware verbreitet werden. Diese Websites verfügen in der Regel über mehrere Ordner mit Malware und Phishing-Inhalten, wobei die angezeigten Inhalte von der jeweiligen Infektionskette abhängen.
Verschiedene Websites, die auf dieselben IP-Adressen verweisen, haben zuvor Seiten mit Inhalten zu Scheinfirmen oder Standardvorlagen angezeigt. Die Verwendung dieser neuen Seiten könnte daher ein Mittel sein, um die Erkennung durch automatisierte Scanner oder Forscher zu erschweren. Hier sind einige der Startseiten, die wir gefunden haben:
EtherRAT ist ein interessantes RAT, da es nur wenige Zeilen Code umfasst und die Ausführung von beliebigem Code ermöglicht, der vom C2-Server zurückgegeben wird. Darüber hinaus sorgt die Nutzung der Ethereum-Blockchain zur Erreichung des C2-Servers dafür, dass es widerstandsfähiger gegen das Abschalten der Infrastruktur ist.
Technische Analyse von EtherRAT
Die erkannten Websites verbreiten in der Regel eine MSI-Datei oder ein PowerShell-Skript mit dem Versionsnamen, beispielsweise v1.msi, v2.ps1 und so weiter.
MSI-Loader
Die MSI-Datei „v9.msi“ enthält drei Komponenten:
| MSI-Dateiname | Beschreibung |
| KmPuGimn.cmd | BAT-Launcher |
| cDQMlQAru0.xml | Erster JScript-Loader |
| MRaQCipBIZeiZNx.log | Verschlüsseltes EtherRAT |
Wenn das MSI-Setup-Programm ausgeführt wird, wird die Datei „KmPuGimn.cmd“ gestartet:
conhost --headless cmd /c "KmPuGimn.cmd" Diese verschleierte BAT-Datei führt verschiedene Vorgänge aus:
- Entpackt die übrigen Dateien in einen zufälligen Ordner unter %LOCALAPPDATA%.
- Führt sich selbst erneut aus über:
- %SystemRoot%\System32\conhost.exe –headless %SystemRoot%\System32\cmd.exe /c call “C:\Users\{user}\AppData\Local\{random_path}\KmPuGimn.cmd” nKWa
- Führt den Befehl „where node“ aus, um eine vorhandene Installation zu finden.
- Lädt Node.js herunter, falls es nicht gefunden wird
- Verwendet „curl -sLo“, um Node.js von der offiziellen Website herunterzuladen.
- Entpacken Sie die Datei mit „tar -xf“ in das Installationsverzeichnis.
- Benennt das extrahierte Verzeichnis in „28Q75h“ um.
- Wiederholt sich so lange, bis sowohl „MRaQCipBIZeiZNx.log“ als auch „cDQMlQAru0.xml“ vorhanden sind, und führt dann Folgendes aus:
- conhost.exe –headless C:\Users\{user}\AppData\Local\{random_path}\{random_path}\node.exe cDQMlQAru0.xml
Die ausgeführte Datei „cDQMlQAru0.xml“ ist ein Loader, der den eingebetteten Code mit einer XOR-Funktion entschlüsselt und ihn anschließend mit „vm.compileFunction“ ausführt.
decrypted[i] = (encrypted[i] - key[i % key.length] - i) & 0xFF 
Der entschlüsselte Code:
- Copies node.exe in “C:\Users\{user}\AppData\Local\{random_path}\{random_path}\_MJlLlt5.exe”.
- Fügt einen Registrierungsschlüssel für die Persistenz mit „conhost.exe –headless“ hinzu.
- Entschlüsselt „MRaQCipBIZeiZNx.log“ und führt es mit „_MJlLlt5.exe“ als Standard-Eingabe aus.
Der Entschlüsselungsalgorithmus ist ein benutzerdefiniertes, streamenes Dekodierungsverfahren, das auf XOR, Byte-Rotationen und einem Akkumulator basiert:
for e in range(len(data)):
byte = data[e]
g = prev
prev = byte
byte = (byte - g) & 0xff
byte = byte ^ n[e % len(n)] ^ ((e >> 8) & 0xff)
byte = si[byte]
byte = (byte - k[e % len(k)]) & 0xff
result[e] = byte Der letzte Schritt besteht darin, EtherRAT einzusetzen. Mit EtherRAT kann der Angreifer:
- Ausführung von beliebigem JavaScript-Code, der vom C2-Server empfangen wird. Dadurch kann der Angreifer neue Befehle ausführen, Operationen an Dateien und Ordnern durchführen, die Registrierung ändern und Daten abziehen.
- Richte einen neuen C2-Server über die Ethereum-Blockchain ein.
- Sich selbst erneut verschleiern.
- Speichern Sie die Protokolle unter dem Namen „svchost.log“.
EtherRAT nutzt die JSON-RPC-Methode „eth_call“ von Ethereum, um die aktive C2-URL aus einem Smart Contract im Ethereum-Mainnet abzurufen.
Die Blockchain-Parameter lauten in diesem Fall:
- Vertrag: 0x88ea8d0bc4146f0a018e989df3fd089ac48f9a58
- Funktionsauswahl: 0x7d434425
- Argument: 0xf6a772e163e64b07f658946f863b5d457d88f9f0
Die URLs, über die der C2-Server-Endpunkt abgerufen wird, lauten:
- mainnet[.]gateway[.]tenderly[.]co
- rpc[.]flashbots[.]net/fast
- rpc[.]mevblocker[.]io
- eth-mainnet[.]public[.]blastapi[.]io
- ethereum-rpc[.]publicnode[.]com
- eth[.]drpc[.]org
- eth[.]merkle[.]io
Polling-Anfragen verwenden zufällige URL-Muster, die auf bestimmten im Code definierten Parametern basieren:
GET /api/<4-byte-hex>/<victim-uuid>/<4-byte-hex>.<ext>?<param>=<build-id>
X-Bot-Server: <c2_url> In der analysierten Stichprobe lauten die Parameter wie folgt:
- Build-ID: „6f816d80-0d6c-4384-9cd6-6b79965fc08f“
- ext: wird zufällig aus „png“, „jpg“, „gif“, „css“, „ico“ und „webp“ ausgewählt.
- param: wird zufällig aus „id“, „token“, „key“, „b“, „q“, „s“ und „v“ ausgewählt.
Nach dem Start sendet der RAT seinen eigenen Quellcode an den C2-Server. Der C2 antwortet mit einer neu verschleierten Version des Skripts, die wieder auf die Festplatte geschrieben wird, sodass bei jeder Ausführung ein neuer Datei-Hash generiert wird.
POST /api/[REOBF_PATH]/<victim-uuid>
Body: { "code": "<current_script_contents>", "build": "<build_id>" } Nach der Ausführung von EtherRAT konnten wir verschiedene Aktivitäten von cmd.exe nach der Kompromittierung beobachten, mit denen die Umgebung überprüft wurde. Zum Beispiel:
- powershell -NoProfile -NonInteractive -WindowStyle Hidden -Command „(Get-WmiObject Win32_VideoController).Name“
- reg query „HKLM\SOFTWARE\Microsoft\Cryptography“ /v MachineGuid
- powershell -NoProfile -NonInteractive -WindowStyle Hidden -Command „(Get-WmiObject Win32_ComputerSystem).Domain“
- powershell -NoProfile -NonInteractive -WindowStyle Hidden -Command „(Get-WmiObject Win32_ComputerSystem).PartOfDomain“
- cmd.exe /d /s /c „net session“
PowerShell-Loader
Die von den PowerShell-Loadern ausgeführten Aktivitäten ähneln stark der letzten Phase des JS-Skripts des MSI-Installationsprogramms:
- Lädt Node.js herunter, falls es nicht vorhanden ist.
- Erstellen Sie die erforderlichen Verzeichnisse.
- Entschlüsseln Sie EtherRAT mit einem benutzerdefinierten Entschlüsselungsalgorithmus.
- Führen Sie Node.js mit conhost.exe und der entschlüsselten EtherRAT-Nutzlast aus.
Wir haben einige Varianten des auf diesen Websites gehosteten PowerShell-Loaders entdeckt; konkret ändern sich in den analysierten PowerShell-Skripten die Namen der Funktionen sowie die Entschlüsselungsfunktionen.
Verfolgung der Infrastruktur der Angreifer
Bei der Analyse verschiedener Websites mit Seiten zum Thema „Hacking“ stellten wir fest, dass viele davon in der Vergangenheit mehrere Phishing-Seiten in bestimmten Verzeichnissen gehostet hatten. Zum Beispiel:
- /zht/sharep-redirect.html
- /bl/me.php
- /t/Teams
- Windows.php
Es scheint, dass diese Domains und IP-Adressen tatsächlich Teil einer weitaus größeren Infrastruktur sind, über die Malware, Phishing-Angriffe, schädliche Dokumente und Remote-Software verbreitet werden. Es ist möglich, dass diese Infrastrukturen von mehreren Angreifern gemeinsam genutzt werden, die je nach konkreter Kampagne unterschiedliche URL-Endpunkte aktivieren.
Interessanterweise lieferte die Mehrheit der Domains, die in der Vergangenheit mit dieser bösartigen Infrastruktur in Verbindung standen, ebenfalls eine HTML-Seite aus, die sich auf einen Dienst namens „Bulletproof Infrastructure“ bezog.
Wir haben festgestellt, dass diese Phishing-Kampagnen in der Regel über E-Mails mit angehängten Dokumenten wie PDF- oder Excel-Dateien starten. In diesen Dokumenten wird der Nutzer aufgefordert, auf einen Link zu klicken, um ein weiteres Dokument anzuzeigen. Nachfolgend finden Sie zwei Beispiele für die an die E-Mails angehängten Phishing-Dokumente:
Auf diesen Phishing-Seiten werden die Nutzer in der Regel aufgefordert, ihre E-Mail-Adresse einzugeben; anschließend wird die Infektionskette fortgesetzt und es werden weitere Phishing- oder Malware-Seiten verbreitet. Nachfolgend sind einige der Phishing-Seiten aufgeführt, die innerhalb der bösartigen Infrastruktur entdeckt wurden:
Fehlerhafte Konfigurationen machten die Phishing-Kits angreifbar
Bei der Suche nach bösartigen Websites stießen wir auf eine Seite mit einem offenen Verzeichnis, das einen Teil des in den Kampagnen verwendeten Phishing-Kits enthielt.
Das geöffnete Verzeichnis enthielt mehrere Ordner mit Code und Seiten, die mit den Phishing-Kampagnen in Zusammenhang standen.
Zudem waren einige Domains falsch konfiguriert und ermöglichten den Download von „cl.zip“, das den Quellcode für die „URL Cloaker“-Seiten enthielt.
Indikatoren für eine Kompromittierung (IOCs)
IPs
82.165.65.244: Infrastruktur für böswillige Aktivitäten
185.221.216.121: Infrastruktur für böswillige Zwecke
43.163.233.166: bösartige Infrastruktur
40.160.238.30: bösartige Infrastruktur
159.89.227.204: bösartige Infrastruktur
57.128.31.168: bösartige Infrastruktur
Domänen
ivorilla[.]cloud: Verbreitung von EtherRAT
mx[.]nrlwz[.]com: Verbreitung von EtherRAT
dn[.]eyqwj[.]com: Verbreitung von EtherRAT
bi[.]mkrjcsw[.]com: Verbreitung von EtherRAT
dorqen[.]casa: Verbreitung von EtherRAT
kelvra[.]club: Verbreitung von EtherRAT
cambioefectivo[.]com: EtherRAT C2
vabelles[.]com: EtherRAT C2
tranzed[.]org: EtherRAT C2
kibrisarazi[.]com: EtherRAT C2
aravisblog[.]com: EtherRAT C2
publicspeakingtip[.]org: EtherRAT C2
Danksagungs
- SharePoint-Referenz:https://ironscales.com/threat-intelligence/no-macro-xlsx-shared-strings-aitm-redirect-credential-harvest
Beugen Sie Bedrohungen vor, bevor sie Schaden anrichten können.
Malwarebytes Browser Guard Phishing-Seiten und bösartige Websites automatisch. Kostenlos und mit nur einem Klick zu installieren. Zu Ihrem Browser hinzufügen →
