黑客借 React2Shell 漏洞发起 EtherRAT 恶意软件攻击
嗯,用户让我用中文帮他总结一篇文章,控制在100个字以内,而且不需要特定的开头。首先,我需要仔细阅读文章内容,抓住主要信息。 文章讲的是一个叫EtherRAT的恶意软件,它利用React2Shell漏洞攻击。这个软件有几个特点:基于区块链的C2通信,多层Linux持久化机制,实时载荷重写,还有Node.js环境的反检测能力。看起来挺复杂的。 然后,文章提到这个恶意软件可能与朝鲜黑客组织有关,他们之前用过类似的技术。攻击链路分为几个阶段:漏洞利用、运行时环境部署、恶意程序加载。还有五层持久化机制,确保即使系统重启也能保持控制。 用户的需求是总结内容,所以我要提取关键点:EtherRAT的功能、攻击方式、与朝鲜黑客的关系、React2Shell漏洞的影响。把这些浓缩到100字以内。 可能的结构是:介绍EtherRAT是什么,它的功能和攻击方式,以及它利用了React2Shell漏洞。最后提到它与朝鲜黑客的关系和影响。 现在开始组织语言:“EtherRAT是一种新型恶意软件,利用React2Shell漏洞攻击Linux系统。” 这样开头简洁明了。接着描述它的功能:“具备基于区块链的C2通信、多层持久化机制和反检测能力。” 然后提到攻击链路:“通过多阶段攻击链路实现持久控制。” 最后点出与朝鲜黑客的关系:“研究人员发现其特征与朝鲜Lazarus组织相关。” 检查字数是否在100字以内,并确保信息准确全面。这样应该能满足用户的需求。 </think> EtherRAT是一种新型恶意软件,利用React2Shell漏洞攻击Linux系统,具备基于区块链的C2通信、多层持久化机制和反检测能力。研究人员发现其特征与朝鲜Lazarus组织相关。 2025-12-18 04:0:0 Author: www.4hou.com(查看原文) 阅读量:5 收藏

胡金鱼 漏洞 刚刚发布

1885

收藏

导语:EtherRAT整合了多项复杂功能,包括基于区块链的命令与控制(C2)通信、多层Linux持久化、载荷实时重写,以及依托完整Node.js运行时环境实现的反检测能力。

在近期的React2Shell漏洞攻击事件中,一款名为EtherRAT的新型恶意植入程序被安全研究人员发现,该程序不仅内置五种独立的Linux系统持久化机制,还会借助以太坊智能合约与攻击者建立通信链路。

研究人员认为,这款恶意软件的特征与朝鲜黑客组织在Contagious Interview攻击活动中使用的工具相符。他们在React2Shell高危漏洞(CVE-2025-55182)披露仅两天后,便从某遭入侵的Next.js应用中成功提取到EtherRAT样本。

EtherRAT整合了多项复杂功能,包括基于区块链的命令与控制(C2)通信、多层Linux持久化、载荷实时重写,以及依托完整Node.js运行时环境实现的反检测能力。尽管其与朝鲜Lazarus组织发起的Contagious Interview攻击存在诸多特征重合,但在多个核心层面仍具备独特性。 

React2Shell是React服务端组件(RSC)Flight协议中存在的最高级别反序列化漏洞,攻击者可通过特制HTTP请求实现无认证远程代码执行。

该漏洞影响大量运行React/Next.js的云环境,在上周漏洞公开数小时后便已出现野外利用。随着自动化攻击工具的普及,已有跨多个行业的至少30家组织机构遭入侵,攻击者借此窃取凭证、开展加密货币挖矿,并部署通用型后门程序。

EtherRAT的攻击链路

Sysdig指出,EtherRAT采用多阶段攻击链路,其流程如下:

1. 漏洞利用与初始载荷投放:首先通过React2Shell漏洞在目标设备上执行Base64编码的Shell命令,该命令会尝试通过curl、wget或python3(备选)工具下载恶意Shell脚本s.sh,并每300秒循环执行一次直至下载成功。脚本获取后会先经过校验,再被赋予可执行权限并启动。

图片4.png

脚本逻辑

2. 运行时环境部署:脚本会在用户目录$HOME/.local/share/下创建隐藏文件夹,从nodejs.org直接下载并解压合法的Node.js v20.10.0运行时环境。随后写入加密载荷数据块与混淆后的JavaScript投放器,通过已下载的Node二进制文件执行投放器,执行完毕后脚本会自行删除。

3. 恶意程序解密与加载:名为.kxnzl4mtez.js的混淆JavaScript投放器会读取加密数据块,通过硬编码的AES-256-CBC密钥完成解密,并将解密结果写入另一隐藏JavaScript文件。该解密后的文件即为EtherRAT植入程序,最终通过前一阶段安装的Node.js环境完成部署。

高级植入程序的核心特征

基于以太坊智能合约的C2通信

EtherRAT采用以太坊智能合约实现C2操作,该方式不仅具备灵活的运营能力,还能有效抵御反制与关停措施。其会并行查询9个公共以太坊RPC节点,并以多数节点的响应结果为准,可防止单点节点投毒或域名劫持攻击。

此外,该恶意软件每500毫秒便会向C2发送随机生成的类CDN格式URL,并通过AsyncFunction构造器执行攻击者下发的JavaScript代码,形成可完全交互的Node.js命令行环境。

图片5.png

构建随机URL

朝鲜黑客此前便曾使用智能合约进行恶意软件投放与分发,该技术被称为EtherHiding,谷歌与GuardioLabs均曾发布相关技术报告。

Linux系统的五层持久化机制

EtherRAT在Linux系统中具备极强的持久化能力,通过部署五层冗余机制确保控制权不丢失,具体包括:

·定时任务(Cron jobs)

·bashrc配置注入

·XDG自动启动项

·Systemd用户服务

·配置文件(Profile)注入

借助多维度持久化手段,即便目标系统经历重启或运维操作,攻击者仍能维持对受感染设备的访问权限。

自主更新与载荷重混淆能力

EtherRAT的另一独特功能是可通过向API端点发送自身源代码实现自主更新。其会接收功能一致但混淆方式不同的替换代码,完成自身覆盖后启动新进程运行更新后的载荷。该机制既能帮助恶意软件规避静态检测,也可阻碍逆向分析,同时支持按需加载特定攻击功能。

鉴于目前React2Shell漏洞已被多方黑客组织利用,系统管理员需尽快将React/Next.js版本升级至安全版本。研究人员建议用户应快速排查上述持久化机制的存在痕迹、监控以太坊RPC相关流量、审计应用程序日志,并及时轮换各类账户凭证。

文章来源自:https://www.bleepingcomputer.com/news/security/north-korean-hackers-exploit-react2shell-flaw-in-etherrat-malware-attacks/如若转载,请注明原文地址

  • 分享至
  •

取消 嘶吼

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟


文章来源: https://www.4hou.com/posts/J1v9
如有侵权请联系:admin#unsafe.sh