EtherRAT Malware ve React2Shell Açığı
Son dönemde Kuzey Kore ile bağlantılı aktörlerin, React Server Components (RSC) içinde keşfedilen kritik güvenlik açığını kullanarak yeni bir uzak erişim trojanı olan EtherRAT‘ı dağıttığı ortaya çıktı. Bu yeni zararlı yazılım, Ethereum akıllı sözleşmelerini kullanarak komut ve kontrol (C2) işlemlerini gerçekleştirmekte ve çeşitli Linux kalıcılık mekanizmalarıyla sistemlere sızmakta.
Sysdig’in raporuna göre, EtherRAT, komut ve kontrol sunucusu (C2) iletişimini Ethereum akıllı sözleşmeleri üzerinden sağlıyor ve her beş dakikada bir güncellenebilen bir URL alıyor. EtherHiding tekniği kullanılarak bu işlemler gerçekleştiriliyor ve bu sayede, operatörler URL’yi kolayca değiştirebiliyor.
Contagious Interview Kampanyası
EtherRAT, aynı zamanda “Contagious Interview” adı verilen uzun süredir devam eden bir kampanya ile örtüşüyor. Bu kampanya, özellikle blockchain ve Web3 geliştiricilerini hedef alıyor. Dolandırıcılar, LinkedIn, Upwork ve Fiverr gibi platformlar üzerinden sahte iş görüşmeleri ve kodlama görevleri ile kurbanları tuzağa düşürüyor.
Socket adlı yazılım tedarik zinciri güvenlik şirketine göre, bu kampanya npm ekosistemini istismar eden en etkin saldırılardan biri ve JavaScript ile kripto para odaklı iş akışlarına adapte olma yeteneğini gösteriyor.
Saldırı Zinciri ve Mekanizmalar
EtherRAT’ın saldırı zinciri, CVE-2025-55182 kodlu güvenlik açığının kullanılmasını içeriyor. Bu açığın CVSS puanı 10.0 olarak değerlendirilmiş olup, yüksek seviye bir tehlike arzetmektedir. Saldırı, Base64 kodlaması ile hazırlanmış bir shell komutunun yürütülmesi ile başlıyor.
Yüklenen shell script, sistemin hazırlığını yapmak için Node.js’i indirdikten sonra, disk üzerinde şifrelenmiş bir blob ve obfükse edilmiş JavaScript dropper’ını oluşturuyor. Bu adımlar tamamlandıktan sonra, script silinerek deliller minimize ediliyor ve dropper çalıştırılıyor.
Kalıcılık ve Güncelleme Mekanizmaları
EtherRAT, kalıcılık sağlamanın yanı sıra kendini güncelleyebilme yeteneğine de sahip. C2 sunucusundan gelen yeni kod ile değişim yaparak, tespit edilme olasılığını azaltıyor. Sistem yeniden başlatıldığında bile çalışmaya devam edebilmesi için altı farklı kalıcılık mekanizması kullanıyor:
- Systemd kullanıcı servisi
- XDG autostart girişi
- Cron görevleri
- .bashrc enjeksiyonu
- Profil enjeksiyonu
Bu yöntemler, saldırganların sızdığı sistemlere yeniden erişim sağlamasını kolaylaştırıyor.
Sonuç ve Gelecek Öngörüleri
EtherRAT, React2Shell istismarında ciddi bir evrim temsil ediyor. Artık sadece oportunistik kripto madenciliği ve kimlik bilgisi hırsızlığı ile sınırlı kalmayıp, daha uzun vadeli ve gizli erişim sağlama hedefleri için tasarlanmış durumda.
Sonuç olarak, Kuzey Koreli tehdit aktörlerinin yeni istismar vektörlerine doğru bir kayma yaşadığı ya da başka oyuncuların sofistike teknikleri ödünç aldığı görülüyor. Bu yeni implantlar, geleneksel tespit ve yok etme yöntemlerine karşı zorluklar çıkarıyor ve siber güvenlik uzmanları için ciddi tehditler oluşturuyor.
