EtherRATマルウェア
最近発見された北朝鮮の工作員に関連する脅威キャンペーンは、React2Shell(RSC)の重大な脆弱性を悪用し、これまで知られていないリモートアクセス型トロイの木馬「EtherRAT」を展開していると考えられています。このマルウェアは、Ethereumスマートコントラクトをコマンドアンドコントロール(C2)ワークフローに組み込み、Linuxに複数の永続化レイヤーをインストールし、展開時に独自のNode.jsランタイムをバンドルする点が特徴的です。
目次
進行中の「伝染性インタビュー」作戦へのリンク
セキュリティ チームは、EtherRAT の活動と、2025 年初頭から活動している一連の攻撃でマルウェア配信に EtherHiding 技術を使用している、Contagious Interview と呼ばれる長期にわたるキャンペーンとの間に強い類似点があることを確認しました。
これらの攻撃は通常、ブロックチェーンやWeb3開発者を標的とし、偽造された就職面接、コーディングテスト、ビデオ評価といった偽の情報を巧みに利用して悪意を隠蔽します。被害者への連絡は通常、LinkedIn、Upwork、Fiverrといったプラットフォームを通じて行われ、攻撃者は高額の雇用機会を提供する正規のリクルーターを装います。
研究者らは、この脅威クラスターが npm エコシステム内で最も生産性の高い悪意のある勢力の 1 つになっており、JavaScript ベースのサプライ チェーンや暗号に重点を置いたワークフローに侵入するスキルを発揮していると指摘しています。
最初の侵害:React2Shellの悪用
攻撃シーケンスは、重大度スコアが 10 の重大な RSC 脆弱性である CVE-2025-55182 の悪用から始まります。この脆弱性を利用して、攻撃者は Base64 でエンコードされたコマンドを実行し、主要な JavaScript インプラントを開始するシェル スクリプトをダウンロードしてトリガーします。
このスクリプトはcurl経由で取得され、wgetとpython3がバックアップ手段として機能します。メインペイロードを起動する前に、nodejs.orgからNode.js v20.10.0を直接取得してシステムを準備し、暗号化されたデータBLOBと難読化されたJavaScriptドロッパーの両方をディスクに書き込みます。フォレンジックによる痕跡を制限するため、スクリプトはセットアップが完了すると自身をクリーンアップし、制御をドロッパーに引き渡します。
EtherRAT の配信: 暗号化、実行、スマート コントラクト C2
ドロッパーのコア機能は単純です。ハードコードされたキーを使用して EtherRAT ペイロードを復号化し、新しくダウンロードした Node.js バイナリで起動します。
EtherRATの際立った特徴は、EtherHidingに依存していることです。これは、Ethereumスマートコントラクトから5分ごとにC2サーバーのアドレスを取得する手法です。これにより、防御側が既存のドメインを妨害した場合でも、オペレーターはインフラストラクチャを即座に更新できます。
この実装のユニークな点は、コンセンサスに基づく投票システムです。EtherRATは、9つの公開Ethereum RPCエンドポイントに同時にクエリを実行し、結果を収集し、多数決で返されたC2 URLを信頼します。このアプローチにより、複数の防御戦略が無効化され、侵害または操作されたRPCエンドポイントが1つでもボットネットを欺いたり、シンクホール化したりすることがなくなります。
研究者らは以前、ダウンローダーコンポーネントを開発者に配布するために使用された悪意のある npm パッケージ colortoolsv2 および mimelib2 で同様の手法を発見しました。
高頻度コマンドポーリングとマルチレイヤーパーシスタンス
EtherRATはC2サーバーとの通信を確立すると、500ミリ秒ごとに高速ポーリングサイクルを開始します。10文字を超える応答はすべてJavaScriptとして解釈され、侵害されたシステム上で即座に実行されます。
長期的なアクセスは 5 つの永続化技術を通じて維持され、さまざまな Linux 起動プロセスにわたって信頼性が向上します。
永続化メソッド:
- Systemd ユーザーサービス
- XDG 自動起動エントリ
- Cronジョブ
- .bashrcの変更
- プロファイル注入
複数の実行パスに広がることで、マルウェアは再起動後も実行を継続し、オペレーターのアクセスが中断されないようにします。
自己更新機能と難読化戦略
EtherRATには高度な更新プロセスが組み込まれています。APIエンドポイントに自身のソースコードを送信し、C2サーバーから修正版を受信し、この新しい亜種で自身を再起動します。更新は機能的には同じですが、返されるペイロードは異なる方法で難読化されており、これによりインプラントは静的検出技術を回避できます。
以前のJavaScript脅威ファミリーと重複するコード
さらに分析を進めると、EtherRATの暗号化ローダーの一部が、Contagious Interview作戦で使用されたJavaScriptベースのダウンローダー兼情報窃取ツールとして知られるBeaverTailと共通するパターンを持つことが明らかになりました。これは、EtherRATがContagious Interview作戦で使用されたツールの直接的な後継、もしくはその拡張版であるという評価を裏付けるものです。
防御側への影響:ステルス性と持続性への移行
EtherRATは、React2Shellのエクスプロイトにおける大きな進化を示しています。このインプラントは、暗号通貨マイニングや認証情報の窃取といった機会主義的な活動のみに焦点を当てるのではなく、ステルス性の高い長期的なアクセスを優先しています。スマートコントラクト主導のC2オペレーション、コンセンサスに基づくエンドポイント検証、複数の永続化レイヤー、そして継続的な自己難読化を巧みに組み合わせることで、防御側にとって深刻な脅威となります。
セキュリティチームにとっての重要なポイント
セキュリティチームは、EtherRATがRSCエクスプロイトの顕著な進化を示し、長期的な侵入を可能にする持続的かつ適応性の高い脅威へと変貌を遂げていることに留意する必要があります。EtherRATのコマンドアンドコントロール(C&C)インフラストラクチャは特に堅牢で、イーサリアムのスマートコントラクトとマルチエンドポイントのコンセンサスメカニズムを活用することで、シンクホール攻撃、テイクダウン、個々のエンドポイントの操作といった攻撃に対抗します。さらに、このマルウェアがContagious Interviewキャンペーンと密接に関連していることは、高価値開発者を標的とした継続的な攻撃を示唆しており、ブロックチェーンおよびWeb3開発コミュニティにおける警戒の強化の必要性を浮き彫りにしています。
