Son günlerde, EtherRAT adı verilen yeni bir zararlı yazılım, React2Shell açığı üzerinden gerçekleştirilen saldırılarda kullanılıyor. Bu zararlı yazılım, beş farklı Linux kalıcılık mekanizması ile çalışırken, Ethereum akıllı sözleşmelerini saldırganla iletişim kurmak için kullanıyor.
EtherRAT ve React2Shell Açığı
Cloud güvenliği şirketi Sysdig’in araştırmalarına göre, EtherRAT’ın kullanımı, Kuzey Kore’nin “Contagious Interview” kampanyalarında kullandığı araçlarla paralellik gösteriyor. Araştırmacılar, EtherRAT’ı sadece React2Shell açığının kamuya açıklanmasından iki gün sonra, ele geçirilmiş bir Next.js uygulamasından kurtardılar. React2Shell açığı, React Server Components (RSC) “Flight” protokolündeki ciddi bir deserialization hatası olup, kimlik doğrulaması yapılmamış uzaktan kod yürütülmesine olanak tanıyor.
Açığın etkilediği çok sayıda bulut ortamı olması, saldırganların bunu hızla istismar etmelerine neden oldu. Başlangıçta Çin bağlantılı Earth Lamia ve Jackpot Panda grupları gibi tehdit aktörleri, bu açığı kullanarak en az 30 kuruluşa sızmayı başardılar.
EtherRAT Saldırı Zinciri
EtherRAT, çok aşamalı bir saldırı zinciri kullanıyor. Öncelikle, React2Shell açığını istismar ederek hedefte bir base64 kodlu shell komutu yürütüyor. Sysdig’e göre, bu komut bir kötü niyetli shell script (s.sh) indirmeye çalışıyor ve başarılı olana kadar her 300 saniyede bir tekrarlıyor. Script indirilirken, kontrol ediliyor, çalıştırılabilir bir dosyaya dönüştürülüyor ve başlatılıyor.
Yüklenen script, kullanıcının $HOME/.local/share/ dizininde gizli bir klasör oluşturuyor ve burada nodejs.org’dan meşru bir Node.js runtime’ını indirip çıkarıyor. Ardından, şifrelenmiş bir payload blob ve obfuscate edilmiş bir JavaScript dropper yazıyor. Bu dropper, Node binary’si kullanılarak çalıştırılıyor ve kendini siliyor.
Gelişmiş Bir Zararlı Yazılımın İşaretleri
EtherRAT, komut ve kontrol (C2) operasyonları için Ethereum akıllı sözleşmelerini kullanarak hem operasyonel esneklik sağlıyor hem de sistemin ele geçirilmesini zorlaştırıyor. Yazılım, dokuz tane kamu Ethereum RPC sağlayıcısına paralel olarak sorgu gönderiyor ve çoğunluk yanıtını alarak tek bir düğümlü zehirlenmeden korunuyor.
Ayrıca, EtherRAT’ın kalıcılık sağlaması için beş farklı yöntemi bulunmaktadır: cron işleri, bashrc enjeksiyonu, XDG autostart, Systemd kullanıcı servisi ve profil enjeksiyonu. Bu yöntemlerle, sistem yeniden başlatılsa bile saldırganın ele geçirdiği sisteme erişimi devam ettiriliyor.
Sonuç ve Öneriler
Sonuç olarak, EtherRAT’ın kullanımının yaygınlaşması ve React2Shell açığının istismar edilmesi, sistem yöneticilerinin dikkatini çekmelidir. Kullanıcıların mümkün olan en kısa sürede güvenli bir React/Next.js sürümüne güncellemeleri önerilmektedir. Sysdig’in raporu, EtherRAT ile ilişkili bir dizi tehlike göstergesi (IoCs) sağlamaktadır. Kullanıcıların, belirtilen kalıcılık mekanizmalarını kontrol etmeleri, Ethereum RPC trafiğini izlemeleri ve uygulama günlüklerini gözden geçirmeleri gerekmektedir.
Bu tür gelişmelere karşı hazırlıklı olmak için, hem yazılım güncellemeleri yapılmalı hem de kullanıcı erişim bilgileri düzenli olarak değiştirilmelidir.
