Nel corso delle nostre recenti attività di ricerca delle minacce, abbiamo individuato il malware EtherRAT distribuito da un sito web con una pagina iniziale piuttosto insolita. Questa pagina iniziale ci ha permesso di scoprire una vasta infrastruttura dannosa che distribuiva malware, documenti dannosi, software per il controllo remoto del desktop e pagine di phishing.
EtherRAT è un RAT sviluppato in Node.js che consente a un hacker di ottenere il controllo completo del computer ed eseguire codice arbitrario fornito dal server di comando e controllo (C2). Il malware utilizza la blockchain di Ethereum per connettersi al server C2, da cui deriva la parte "Ether" del nome. EtherRAT viene tipicamente distribuito tramite MSI, PowerShell o script JavaScript.
Una directory aperta che distribuisce EtherRAT: dove tutto ha avuto inizio
Durante l'attività di ricerca delle minacce, abbiamo individuato una directory accessibile che distribuiva programmi di installazione MSI e script PowerShell, i quali a loro volta diffondevano EtherRAT. Nei casi analizzati, gli script PowerShell e i programmi di installazione MSI venivano distribuiti da una cartella denominata "/install". Le versioni presentano una numerazione progressiva, che va dalla v1 alla v10.
La pagina iniziale che ci è apparsa ha attirato la nostra attenzione e ci ha spinto ad approfondire la campagna.
Analizzando i domini e gli indirizzi IP associati alla distribuzione EtherRAT, abbiamo individuato altre home page simili caratterizzate da un tema legato all'hacking. Sembrano far parte di una catena di distribuzione più ampia, che diffonde anche attacchi di phishing, software di controllo remoto e altro malware. Questi siti web presentano solitamente diverse cartelle contenenti malware e contenuti legati al phishing, e ciò che viene visualizzato dipende dalla specifica catena di infezione.
Diversi siti web che puntano agli stessi indirizzi IP hanno in passato restituito pagine relative a società fittizie o modelli predefiniti. L'uso di queste nuove pagine potrebbe quindi rappresentare un metodo per rendere più difficile l'individuazione da parte di scanner automatici o ricercatori. Ecco alcune delle home page che abbiamo trovato:
EtherRAT è un RAT interessante, poiché è composto da poche righe di codice e consente l'esecuzione di codice arbitrario restituito dal server C2. Inoltre, l'utilizzo della blockchain di Ethereum per accedere al server C2 lo rende più resistente agli attacchi mirati a mettere fuori uso l'infrastruttura.
Analisi tecnica di EtherRAT
I siti web individuati distribuiscono solitamente un file MSI o uno script PowerShell con il nome della versione, ad esempio v1.msi, v2.ps1 e così via.
MSI Loader
Il file MSI «v9.msi» contiene tre componenti:
| Nome file MSI | Descrizione |
| KmPuGimn.cmd | Lanciatore BAT |
| cDQMlQAru0.xml | Primo caricatore JScript |
| MRaQCipBIZeiZNx.log | EtherRAT crittografato |
Quando si esegue il file MSI, viene avviato il file “KmPuGimn.cmd”:
conhost --headless cmd /c "KmPuGimn.cmd" Questo file BAT offuscato esegue diverse operazioni:
- Estrai gli altri file in una cartella casuale all'interno di %LOCALAPPDATA%.
- Si riesegue tramite:
- %SystemRoot%\System32\conhost.exe –headless %SystemRoot%\System32\cmd.exe /c call “C:\Users\{user}\AppData\Local\{random_path}\KmPuGimn.cmd” nKWa
- Esegue il comando «where node» per individuare un'installazione esistente.
- Se Node.js non viene trovato, lo scarica
- Utilizza il comando «curl -sLo» per download .js dal sito web ufficiale.
- Estrai nella directory di installazione tramite «tar -xf».
- Rinomina la directory estratta in “28Q75h”.
- Esegue un ciclo finché non sono presenti sia il file “MRaQCipBIZeiZNx.log” che il file “cDQMlQAru0.xml”, quindi esegue:
- conhost.exe –headless C:\Users\{user}\AppData\Local\{random_path}\{random_path}\node.exe cDQMlQAru0.xml
Il file "cDQMlQAru0.xml" eseguito è un caricatore che decrittografa il codice incorporato tramite una funzione XOR e poi lo esegue con "vm.compileFunction".
decrypted[i] = (encrypted[i] - key[i % key.length] - i) & 0xFF 
Il codice decriptato:
- Copies node.exe in “C:\Users\{user}\AppData\Local\{random_path}\{random_path}\_MJlLlt5.exe”.
- Aggiunge una chiave di registro per garantire la persistenza con "conhost.exe –headless".
- Decrittografa il file «MRaQCipBIZeiZNx.log» e lo esegue utilizzando «_MJlLlt5.exe» come input standard.
L'algoritmo di decrittografia è un sistema di decodifica personalizzato di tipo stream basato su XOR, rotazioni di byte e un accumulatore:
for e in range(len(data)):
byte = data[e]
g = prev
prev = byte
byte = (byte - g) & 0xff
byte = byte ^ n[e % len(n)] ^ ((e >> 8) & 0xff)
byte = si[byte]
byte = (byte - k[e % len(k)]) & 0xff
result[e] = byte La fase finale consiste nell'implementare EtherRAT. EtherRAT consente all'autore dell'attacco di:
- Eseguire codice JavaScript arbitrario ricevuto dal server C2. Ciò consente all'autore dell'attacco di eseguire nuovi comandi, effettuare operazioni su file e cartelle, modificare il registro di sistema ed estrarre dati.
- Ottieni un nuovo server C2 utilizzando la blockchain di Ethereum.
- Riforfugare se stesso.
- Salva i log nel file “svchost.log”.
EtherRAT utilizza il metodo JSON-RPC "eth_call" di Ethereum per recuperare l'URL C2 attivo da uno smart contract sulla mainnet di Ethereum.
I parametri della blockchain in questo caso sono:
- Contratto: 0x88ea8d0bc4146f0a018e989df3fd089ac48f9a58
- Selettore di funzione: 0x7d434425
- Argomento: 0xf6a772e163e64b07f658946f863b5d457d88f9f0
Gli URL a cui si è fatto riferimento per ottenere l'endpoint del server C2 sono:
- mainnet[.]gateway[.]tenderly[.]co
- rpc[.]flashbots[.]net/fast
- rpc[.]mevblocker[.]io
- eth-mainnet[.]public[.]blastapi[.]io
- ethereum-rpc[.]publicnode[.]com
- eth[.]drpc[.]org
- eth[.]merkle[.]io
Le richieste di polling utilizzano modelli di URL casuali basati su alcuni parametri definiti nel codice:
GET /api/<4-byte-hex>/<victim-uuid>/<4-byte-hex>.<ext>?<param>=<build-id>
X-Bot-Server: <c2_url> Nel campione analizzato, i parametri sono:
- ID build: “6f816d80-0d6c-4384-9cd6-6b79965fc08f”
- estensione: selezionata casualmente tra “png”, “jpg”, “gif”, “css”, “ico”, “webp”.
- param: selezionato casualmente tra “id”, “token”, “key”, “b”, “q”, “s”, “v”.
Dopo l'avvio, il RAT invia il proprio codice sorgente al server C2. Il server C2 risponde con una versione dello script appena offuscata, che viene riscritta su disco, facendo sì che ogni esecuzione generi un nuovo hash del file.
POST /api/[REOBF_PATH]/<victim-uuid>
Body: { "code": "<current_script_contents>", "build": "<build_id>" } Dopo l'esecuzione di EtherRAT, abbiamo osservato diverse attività di cmd.exe successive alla compromissione volte a verificare l'ambiente. Ad esempio:
- powershell -NoProfile -NonInteractive -WindowStyle Hidden -Command “(Get-WmiObject Win32_VideoController).Name”
- reg query "HKLM\SOFTWARE\Microsoft\Cryptography" /v MachineGuid
- powershell -NoProfile -NonInteractive -WindowStyle Hidden -Command “(Get-WmiObject Win32_ComputerSystem).Domain”
- powershell -NoProfile -NonInteractive -WindowStyle Hidden -Command “(Get-WmiObject Win32_ComputerSystem).PartOfDomain”
- cmd.exe /d /s /c “net session”
Caricatore PowerShell
Le operazioni eseguite dai loader di PowerShell sono molto simili all'ultima fase dello script JS del programma di installazione MSI:
- Se Node.js non è presente, lo scarica.
- Crea le directory necessarie.
- Decodifica EtherRAT utilizzando un algoritmo di decodifica personalizzato.
- Esegui Node.js con conhost.exe e il payload EtherRAT decriptato.
Abbiamo individuato alcune varianti del loader PowerShell ospitate su questi siti web; in particolare, abbiamo notato che nei script PowerShell analizzati cambiano i nomi delle funzioni e le funzioni di decrittografia.
Monitoraggio dell'infrastruttura dannosa
Analizzando i vari siti web con pagine dedicate al tema dell’hacking, abbiamo scoperto che in passato molti di essi avevano ospitato diverse pagine di phishing in alcuni percorsi specifici. Ad esempio:
- /zht/sharep-redirect.html
- /bl/me.php
- /t/squadre
- Windows.php
Sembra che questi domini e indirizzi IP facciano in realtà parte di un'infrastruttura molto più ampia che distribuisce malware, attacchi di phishing, documenti dannosi e software di controllo remoto. È possibile che tali infrastrutture siano condivise da più autori di minacce, i quali attivano diversi endpoint URL a seconda della campagna specifica.
È interessante notare che, in passato, la maggior parte dei domini collegati a questa infrastruttura dannosa rimandava anch’essa a una pagina HTML relativa al servizio “Bulletproof Infrastructure”.
Abbiamo riscontrato che queste campagne di phishing prendono solitamente il via tramite e-mail con allegati, come file PDF o Excel. Questi documenti invitano l'utente a cliccare su un link per visualizzare un altro documento. Di seguito sono riportati due esempi di documenti di phishing allegati alle e-mail:
Queste pagine di phishing in genere chiedono all'utente di inserire il proprio indirizzo e-mail, per poi proseguire la catena di infezione e diffondere pagine di phishing o contenenti malware. Di seguito sono riportate alcune delle pagine di phishing rilevate all'interno dell'infrastruttura dannosa:
Errori di configurazione hanno reso accessibili i kit di phishing
Durante il monitoraggio di siti web dannosi, ne abbiamo individuato uno con una directory accessibile che conteneva parte del kit di phishing utilizzato nelle campagne.
La directory aperta conteneva diverse cartelle con codice e pagine relative alle campagne di phishing.
Inoltre, alcuni domini erano configurati in modo errato e consentivano il download “cl.zip”, che conteneva il codice sorgente delle pagine “URL Cloaker”.
Indicatori di compromissione (IOC)
IP
82.165.65.244: infrastruttura dannosa
185.221.216.121: infrastruttura dannosa
43.163.233.166: infrastruttura dannosa
40.160.238.30: infrastruttura dannosa
159.89.227.204: infrastruttura dannosa
57.128.31.168: infrastruttura dannosa
Domini
ivorilla[.]cloud: Diffusione di EtherRAT
mx[.]nrlwz[.]com: Diffusione di EtherRAT
dn[.]eyqwj[.]com: Diffusione di EtherRAT
bi[.]mkrjcsw[.]com: Diffusione di EtherRAT
dorqen[.]casa: Diffusione di EtherRAT
kelvra[.]club: Diffusione di EtherRAT
cambioefectivo[.]com: EtherRAT C2
vabelles[.]com: EtherRAT C2
tranzed[.]org: EtherRAT C2
kibrisarazi[.]com: EtherRAT C2
aravisblog[.]com: EtherRAT C2
publicspeakingtip[.]org: EtherRAT C2
Ringraziamentis
- Riferimento a SharePoint:https://ironscales.com/threat-intelligence/no-macro-xlsx-shared-strings-aitm-redirect-credential-harvest
Blocca le minacce prima che possano causare danni.
Malwarebytes Browser Guard automaticamente le pagine di phishing e i siti dannosi. È gratuito e si installa con un solo clic. Aggiungilo al tuo browser →
