EtherRAT atakuje administratorów: malware wykorzystuje GitHub i Ethereum do ukrywania infrastruktury C2 - Security Bez Tabu

EtherRAT atakuje administratorów: malware wykorzystuje GitHub i Ethereum do ukrywania infrastruktury C2

Cybersecurity news

Wprowadzenie do problemu / definicja

EtherRAT to nowa kampania złośliwego oprogramowania wymierzona w administratorów systemów, zespoły DevOps oraz specjalistów bezpieczeństwa. Zagrożenie wyróżnia się tym, że podszywa się pod legalne narzędzia administracyjne dla Windows, a następnie wykorzystuje wieloetapowy łańcuch infekcji do przejęcia kontroli nad stacją roboczą ofiary.

Na szczególną uwagę zasługuje sposób działania operatorów. Łączą oni zatruwanie wyników wyszukiwania, repozytoria GitHub wyglądające jak autentyczne projekty, złośliwe instalatory MSI oraz zdecentralizowany mechanizm odnajdywania serwera dowodzenia i kontroli z użyciem blockchaina Ethereum. Taki model znacząco utrudnia zarówno wykrywanie kampanii, jak i blokowanie jej infrastruktury.

W skrócie

EtherRAT jest wieloetapowym trojanem zdalnego dostępu rozpowszechnianym jako fałszywe pakiety MSI udające popularne narzędzia administracyjne. Celem kampanii nie są przypadkowi użytkownicy, lecz osoby posiadające podwyższone uprawnienia i dostęp do krytycznych zasobów organizacji.

  • dystrybucja opiera się na SEO poisoning i fałszywych repozytoriach GitHub,
  • instalator pobiera kolejne komponenty, w tym środowisko Node.js,
  • ładunek działa wieloetapowo i ustanawia trwałość w systemie,
  • adres C2 jest pobierany dynamicznie z wykorzystaniem Ethereum,
  • kampania jest zaprojektowana tak, aby utrudnić takedown i klasyczne blokowanie infrastruktury.

Kontekst / historia

Obserwowana operacja wskazuje na długofalową i dobrze przygotowaną kampanię, a nie jednorazową akcję. Badacze wiążą ją z szerokim wykorzystaniem fasadowych repozytoriów podszywających się pod znane narzędzia administracyjne i diagnostyczne używane w środowiskach enterprise.

Dobór przynęt nie jest przypadkowy. Osoby pobierające takie utility jak narzędzia do administracji, debugowania, monitoringu czy pracy z Active Directory często mają szeroki dostęp do infrastruktury, poświadczeń i systemów o znaczeniu krytycznym. W efekcie sama przynęta pełni funkcję filtra, który pozwala atakującym trafiać w wartościowe cele.

Kampania ma także wymiar psychologiczny. Fałszywe paczki są kierowane do tych samych specjalistów, którzy na co dzień odpowiadają za utrzymanie i bezpieczeństwo środowiska. To oznacza, że złośliwe oprogramowanie może zostać uruchomione przez osobę działającą w dobrej wierze, podczas rutynowej pracy operacyjnej.

Analiza techniczna

Łańcuch infekcji rozpoczyna się od zatruwania wyników wyszukiwania. Atakujący pozycjonują repozytoria tak, aby pojawiały się wysoko dla specjalistycznych zapytań związanych z narzędziami administracyjnymi. Użytkownik trafia najpierw na repozytorium wyglądające wiarygodnie, a dopiero później zostaje przekierowany do właściwego źródła złośliwego instalatora.

Po uruchomieniu pakietu MSI wykonywany jest zaciemniony skrypt uruchamiany przez mechanizm Custom Action. Skrypt przygotowuje katalog roboczy, pobiera środowisko Node.js i uruchamia kolejne etapy infekcji. W dalszej fazie malware odszyfrowuje następny komponent i przechodzi do mechanizmów odpowiedzialnych za trwałość oraz uruchomienie głównego ładunku.

Persistence opiera się na wpisach w kluczu Run rejestru użytkownika. Ostateczny skrypt wykonywany jest przez node.exe, co pozwala operatorom realizować polecenia w środowisku JavaScript bez konieczności wykorzystywania klasycznych binariów pozostawiających bardziej oczywiste ślady na dysku.

Kluczową cechą EtherRAT jest sposób odnajdywania infrastruktury C2. Zamiast statycznie zakodowanego adresu serwera próbka zawiera odwołanie do smart kontraktu Ethereum. Malware odpytuje publiczne endpointy RPC i na tej podstawie pobiera aktualny adres backendu komunikacyjnego. Dzięki temu operator może zmieniać infrastrukturę bez ponownego dostarczania ładunku.

Również ruch sieciowy został przygotowany z myślą o utrudnieniu detekcji. Komunikacja przypomina zwykłe pobieranie statycznych zasobów webowych, wykorzystuje losowe segmenty ścieżek oraz parametry zapytań, a każda instancja malware zachowuje własny identyfikator, co wspiera zarządzanie zainfekowanymi hostami.

Konsekwencje / ryzyko

Najpoważniejszym zagrożeniem jest przejęcie stacji roboczych używanych przez osoby uprzywilejowane. Taka kompromitacja może prowadzić do kradzieży poświadczeń, ruchu bocznego, dostępu do systemów tożsamościowych, środowisk chmurowych, repozytoriów kodu oraz narzędzi zdalnego zarządzania.

W praktyce skuteczna infekcja może dać atakującym tak zwane „keys to the kingdom”, czyli możliwość dalszej eskalacji i długotrwałego utrzymania obecności w środowisku ofiary. Charakter kampanii sugeruje, że celem nie musi być szybki incydent o charakterze oportunistycznym, lecz spokojna, ukierunkowana penetracja infrastruktury przedsiębiorstwa.

Dodatkowym problemem jest odporność C2 na tradycyjne działania obronne. Jeśli aktualny adres infrastruktury może być zmieniany za pośrednictwem danych publikowanych on-chain, samo blokowanie domen czy pojedynczych adresów IP może okazać się niewystarczające.

Rekomendacje

Organizacje powinny ograniczyć możliwość pobierania narzędzi administracyjnych z niezweryfikowanych źródeł. Krytyczne utility warto udostępniać wyłącznie przez wewnętrzne repozytoria oprogramowania, zatwierdzone katalogi aplikacji lub oficjalne kanały producentów dopuszczone przez zespół bezpieczeństwa.

  • weryfikować pochodzenie i podpisy pakietów MSI przed wdrożeniem,
  • monitorować uruchomienia msiexec.exe inicjujące cmd.exe, node.exe lub conhost.exe,
  • analizować wpisy persistence w kluczach Run odnoszące się do nietypowych plików i ścieżek,
  • prowadzić hunting pod kątem połączeń do publicznych endpointów Ethereum RPC,
  • zwiększyć czujność wobec nietypowego użycia Node.js na stacjach administratorów,
  • szkolić zespoły IT i SOC w zakresie ryzyka związanego z fałszywymi repozytoriami oraz SEO poisoning.

W przypadku podejrzenia kompromitacji konieczne jest nie tylko odizolowanie hosta, ale również przegląd wykorzystanych poświadczeń, rotacja kont uprzywilejowanych oraz analiza potencjalnego ruchu bocznego i dostępu do systemów kluczowych dla organizacji.

Podsumowanie

EtherRAT pokazuje, jak szybko rozwijają się kampanie malware ukierunkowane na użytkowników o wysokich uprawnieniach. Połączenie fałszywych repozytoriów GitHub, wieloetapowego loadera opartego na JavaScript oraz mechanizmu C2 wykorzystującego Ethereum tworzy model działania odporny na klasyczne metody blokowania.

Z perspektywy obrony najważniejsze pozostają trzy obszary: ścisła kontrola źródeł oprogramowania administracyjnego, monitorowanie nietypowych łańcuchów procesów i anomalii sieciowych oraz analiza komunikacji do usług blockchainowych. Kampania ta jest kolejnym sygnałem, że legalne platformy i zdecentralizowane usługi coraz częściej stają się narzędziem wspierającym nowoczesne operacje malware.

Źródła

  1. The Hacker News — EtherRAT Distribution Spoofing Administrative Tools via GitHub Facades — https://thehackernews.com/2026/04/etherrat-distribution-spoofing.html
  2. Atos Cyber Shield Blogs — Threat research related to the campaign — https://atos.net/en/lp/cyber-security-shield/threat-research-center
  3. eSentire — EtherRAT malware analysis reference — https://www.esentire.com/blog/etherrat