В ходе недавних мероприятий по поиску угроз мы обнаружили, что вредоносное ПО EtherRAT распространяется через веб-сайт со странной главной страницей. Эта главная страница позволила нам выявить обширную вредоносную инфраструктуру, занимающуюся распространением вредоносного ПО, вредоносных документов, программ для удаленного доступа к рабочему столу и фишинговых страниц.
EtherRAT — это RAT, разработанный на Node.js, который позволяет злоумышленнику получить полный контроль над компьютером и выполнять произвольный код, передаваемый сервером управления и контроля (C2). Это вредоносное ПО использует блокчейн Ethereum для доступа к серверу C2, отсюда и часть названия «Ether». EtherRAT обычно распространяется через MSI, PowerShell или скрипты JavaScript.
Открытый репозиторий, распространяющий EtherRAT: с чего всё началось
В ходе поиска угроз мы обнаружили открытый каталог, из которого распространялись установщики MSI и скрипты PowerShell, которые в конечном итоге использовались для распространения EtherRAT. В проанализированных случаях скрипты PowerShell и установщики MSI распространялись из папки «/install». Версии имеют последовательную нумерацию, начиная с v1 и заканчивая v10.
Восстановленная главная страница привлекла наше внимание и побудила нас более подробно изучить эту кампанию.
В ходе анализа доменов и связанных с ними IP-адресов, связанных с распространением EtherRAT, мы обнаружили другие похожие веб-сайты с тематикой, характерной для хакерской среды. По всей видимости, они входят в более обширную сеть распространения, которая также занимается распространением фишинговых ресурсов, программ для удаленного управления и другого вредоносного ПО. На этих веб-сайтах обычно имеется несколько папок с контентом, связанным с вредоносным ПО и фишингом, и то, что отображается, зависит от конкретной цепочки заражения.
Ранее веб-сайты, которые ведут на одни и те же IP-адреса, отображали страницы, связанные с фиктивными компаниями, или стандартные шаблоны. Таким образом, использование этих новых страниц может служить способом затруднить их обнаружение автоматизированными сканерами или исследователями. Вот некоторые из найденных нами главных страниц:
EtherRAT — это интересный RAT, поскольку он состоит из всего нескольких строк кода и позволяет выполнять произвольный код, возвращаемый сервером C2. Кроме того, использование блокчейна Ethereum для доступа к серверу C2 делает его более устойчивым к отключению инфраструктуры.
Технический анализ EtherRAT
Обнаруженные веб-сайты обычно распространяют файлы MSI или скрипты PowerShell с указанием версии в названии, например v1.msi, v2.ps1 и т. д.
MSI Loader
Файл MSI «v9.msi» содержит три компонента:
| Имя файла MSI | Описание |
| KmPuGimn.cmd | Запускатель BAT |
| cDQMlQAru0.xml | Первый загрузчик JScript |
| MRaQCipBIZeiZNx.log | Зашифрованный EtherRAT |
При запуске MSI запускается файл «KmPuGimn.cmd»:
conhost --headless cmd /c "KmPuGimn.cmd" Этот зашифрованный файл BAT выполняет различные операции:
- Распаковывает остальные файлы в произвольную папку в каталоге %LOCALAPPDATA%.
- Повторно запускается с помощью:
- %SystemRoot%\System32\conhost.exe –headless %SystemRoot%\System32\cmd.exe /c call “C:\Users\{user}\AppData\Local\{random_path}\KmPuGimn.cmd” nKWa
- Выполните команду «where node», чтобы найти существующую установку.
- Загрузит Node.js, если он не найден
- Использует команду «curl -sLo» для загрузки Node.js с официального сайта.
- Распакуйте в каталог установки с помощью команды «tar -xf».
- Переименовывает извлеченный каталог в «28Q75h».
- Выполняется цикл до тех пор, пока не будут найдены оба файла «MRaQCipBIZeiZNx.log» и «cDQMlQAru0.xml», после чего выполняется:
- conhost.exe –headless C:\Users\{user}\AppData\Local\{random_path}\{random_path}\node.exe cDQMlQAru0.xml
Запускаемый файл «cDQMlQAru0.xml» представляет собой загрузчик, который расшифровывает встроенный код с помощью функции XOR, а затем запускает его с помощью метода «vm.compileFunction».
decrypted[i] = (encrypted[i] - key[i % key.length] - i) & 0xFF 
Расшифрованный код:
- Copies node.exe in “C:\Users\{user}\AppData\Local\{random_path}\{random_path}\_MJlLlt5.exe”.
- Добавляет ключ реестра для сохранения настроек при запуске с параметром «conhost.exe –headless».
- Дешифрует файл «MRaQCipBIZeiZNx.log» и запускает его, передавая в стандартный вход данные из файла «_MJlLlt5.exe».
Алгоритм дешифрования представляет собой специальную схему потокового декодирования, основанную на операции XOR, поворотах байтов и аккумуляторе:
for e in range(len(data)):
byte = data[e]
g = prev
prev = byte
byte = (byte - g) & 0xff
byte = byte ^ n[e % len(n)] ^ ((e >> 8) & 0xff)
byte = si[byte]
byte = (byte - k[e % len(k)]) & 0xff
result[e] = byte Заключительным этапом является развертывание EtherRAT. EtherRAT позволяет злоумышленнику:
- Выполнить произвольный код JavaScript, полученный от сервера C2. Это позволяет злоумышленнику выполнять новые команды, осуществлять операции с файлами и папками, изменять реестр и выводить данные.
- Получите новый сервер C2 на базе блокчейна Ethereum.
- Снова запутывать себя.
- Сохраните журналы в файле «svchost.log».
EtherRAT использует метод JSON-RPC «eth_call» сети Ethereum для получения активного URL-адреса C2 из смарт-контракта в основной сети Ethereum.
В данном случае параметры блокчейна следующие:
- Контракт: 0x88ea8d0bc4146f0a018e989df3fd089ac48f9a58
- Селектор функций: 0x7d434425
- Аргумент: 0xf6a772e163e64b07f658946f863b5d457d88f9f0
URL-адреса, к которым осуществляется обращение для получения конечной точки сервера C2:
- mainnet[.]gateway[.]tenderly[.]co
- rpc[.]flashbots[.]net/fast
- rpc[.]mevblocker[.]io
- eth-mainnet[.]public[.]blastapi[.]io
- ethereum-rpc[.]publicnode[.]com
- eth[.]drpc[.]org
- eth[.]merkle[.]io
Запросы опроса используют рандомизированные шаблоны URL-адресов, основанные на определенных параметрах, заданных в коде:
GET /api/<4-byte-hex>/<victim-uuid>/<4-byte-hex>.<ext>?<param>=<build-id>
X-Bot-Server: <c2_url> В анализируемой выборке параметры следующие:
- Идентификатор сборки: «6f816d80-0d6c-4384-9cd6-6b79965fc08f»
- ext: выбирается случайным образом из «png», «jpg», «gif», «css», «ico», «webp».
- param: выбирается случайным образом из «id», «token», «key», «b», «q», «s», «v».
После запуска RAT отправляет свой исходный код на сервер C2. Сервер C2 отвечает новой, подвергнутой обфускации версией скрипта, которая записывается обратно на диск, благодаря чему при каждом запуске генерируется новый хеш файла.
POST /api/[REOBF_PATH]/<victim-uuid>
Body: { "code": "<current_script_contents>", "build": "<build_id>" } После запуска EtherRAT мы зафиксировали различные действия, выполняемые в cmd.exe после взлома, направленные на проверку среды. Например:
- powershell -NoProfile -NonInteractive -WindowStyle Hidden -Command «(Get-WmiObject Win32_VideoController).Name»
- reg query «HKLM\SOFTWARE\Microsoft\Cryptography» /v MachineGuid
- powershell -NoProfile -NonInteractive -WindowStyle Hidden -Command «(Get-WmiObject Win32_ComputerSystem).Domain»
- powershell -NoProfile -NonInteractive -WindowStyle Hidden -Command «(Get-WmiObject Win32_ComputerSystem).PartOfDomain»
- cmd.exe /d /s /c «net session»
Загрузчик PowerShell
Действия, выполняемые загрузчиками PowerShell, очень похожи на последний этап работы скрипта JS установщика MSI:
- Установит Node.js, если он отсутствует.
- Создайте необходимые каталоги.
- Расшифруйте EtherRAT с помощью пользовательского алгоритма дешифрования.
- Запустите Node.js с помощью conhost.exe и расшифрованного полезного груза EtherRAT.
Мы обнаружили несколько вариантов загрузчика PowerShell, размещенных на этих веб-сайтах; в частности, в проанализированных скриптах PowerShell меняются названия функций и функции дешифрования.
Отслеживание вредоносной инфраструктуры
При анализе различных веб-сайтов, содержащих страницы на тему «хакерства», мы обнаружили, что в прошлом на многих из них в определённых каталогах размещалось несколько фишинговых страниц. Например:
- /zht/sharep-redirect.html
- /bl/me.php
- /t/команды
- Windows.php
Похоже, что эти домены и IP-адреса на самом деле являются частью гораздо более обширной инфраструктуры, используемой для распространения вредоносного ПО, фишинговых атак, вредоносных документов и удаленного программного обеспечения. Возможно, что эти инфраструктуры используются несколькими злоумышленниками, которые активируют различные URL-адреса в зависимости от конкретной кампании.
Интересно, что в прошлом большинство доменов, связанных с этой вредоносной инфраструктурой, также возвращали HTML-страницу, посвящённую услуге «Bulletproof Infrastructure».
Мы обнаружили, что такие фишинговые кампании, как правило, начинаются с рассылки электронных писем с вложениями в виде файлов PDF или Excel. В этих документах пользователю предлагается перейти по ссылке для просмотра другого документа. Ниже приведены два примера фишинговых документов, вложенных в такие письма:
На таких фишинговых страницах пользователю, как правило, предлагается ввести свой адрес электронной почты, после чего цепочка заражения продолжается и происходит распространение фишинговых страниц или страниц с вредоносным ПО. Ниже приведены некоторые из фишинговых страниц, обнаруженных в рамках вредоносной инфраструктуры:
Неправильные настройки привели к раскрытию фишинговых наборов
В ходе мониторинга вредоносных веб-сайтов мы обнаружили один из них с открытым каталогом, в котором находилась часть фишингового набора, использовавшегося в этих кампаниях.
В открытом каталоге находилось несколько папок с кодом и страницами, связанными с фишинговыми кампаниями.
Кроме того, некоторые домены были настроены некорректно, что позволяло загружать файл «cl.zip», содержавший исходный код страниц «URL Cloaker».
Показатели взлома (IOC)
IP-адреса
82.165.65.244: вредоносная инфраструктура
185.221.216.121: вредоносная инфраструктура
43.163.233.166: вредоносная инфраструктура
40.160.238.30: вредоносная инфраструктура
159.89.227.204: вредоносная инфраструктура
57.128.31.168: вредоносная инфраструктура
Домены
ivorilla[.]cloud: распространение EtherRAT
mx[.]nrlwz[.]com: распространение EtherRAT
dn[.]eyqwj[.]com: распространение EtherRAT
bi[.]mkrjcsw[.]com: распространение EtherRAT
dorqen[.]casa: Распространение EtherRAT
kelvra[.]club: распространение EtherRAT
cambioefectivo[.]com: EtherRAT C2
vabelles[.]com: EtherRAT C2
tranzed[.]org: EtherRAT C2
kibrisarazi[.]com: EtherRAT C2
aravisblog[.]com: EtherRAT C2
publicspeakingtip[.]org: C2-сервер EtherRAT
Благодарностьс
- Справочник по SharePoint:https://ironscales.com/threat-intelligence/no-macro-xlsx-shared-strings-aitm-redirect-credential-harvest
Пресекайте угрозы, пока они не нанесли ущерб.
Malwarebytes Browser Guard автоматическиBrowser Guard фишинговые страницы и вредоносные сайты. Бесплатно, устанавливается одним щелчком мыши. Добавьте его в свой браузер →
