React2Shellを悪用するマルウェアが確認されています。
React2ShellはCVE-2025-55182として追跡されている脆弱性です。
この脆弱性を悪用するマルウェアとして、EtherRATが観測されています。
EtherRATは完全なインタラクティブシェルを脅威アクターに提供するリモートアクセストロイです。
EtherRATとは、どのようなものなのでしょうか。
- React2Shellから始める
EtherRATは、まずはReact2Shellから始めます。
React2Shellは、React Server Componentsにおいて確認されている、認証を必要とすることなく実施可能なリモートコード実行(RCE)の脆弱性です。
EtherRATは、React2Shellを悪用してターゲット上でbase64でエンコードされたシェルコマンドを実行することで開始されます。 - 武器を持ち込む道具を持ち込む
実行されたシェルコマンドは、シェルスクリプトをダウンロードします。
そしてそれを実行し、侵害環境でマルウェアドロッパーを復号化して構成します。 - 武器を持ち込む
次にマルウェアドロッパーが実行されます。
そしてこれがEtherRATの本体を侵害環境に設置します。 - EtherHidingを使うEtherRAT
EtherRATは、EthereumスマートコントラクトをC2機構に使用します。
Ethereumスマートコントラクトは、ブロックチェーン上で条件が満たされると自動的に契約を実行するプログラムで、Solidityなどの言語で記述され、自動販売機のように仲介者なしで取引を自動化するような機構に利用される仕組みです。
取引の外部の様々な要因(ばらつき、環境変化、異常入力など)の影響を受けにくい、堅牢で安定した性質をもった機構です。
EtherRATは、9個のパブリックEthereum RPCプロバイダーに並行してクエリを実行し、多数決応答結果を選択することで、単一ノードのポイズニングやシンクホールを防止します。
これまでにも他のマルウェアがこのスマートコントラクトを悪用してきていますが、そこにEtherRATも追加されました。 - 多重化された永続化機構
永続化のための機構を持つマルウェアは多くあります。
複数の永続化機構を持つものも中にはあります。
EtherRATは、なんと4種もの永続化機構を搭載しています。
複数の手法で永続化を試み、うまくいったことを確認すると次の種の永続化処理をキャンセルするという機構を搭載しています。- Systemdのユーザサービス
ルート権限なしに各ユーザが自分のホームディレクトリ内で起動・管理できるデーモンや自動化タスクの機構であるSystemdのユーザサービスをマルウェアの永続化として使用します。 - XDG自動起動エントリ
LinuxのXwindowシステムの自動起動するアプリケーションを設定する機能を永続化機構として使用します。 - Cronジョブ
特定の時間にタスク(コマンドやスクリプト)を自動的に実行するための仕組みを永続化機構として使用します。 - Bashrcインジェクション
bashrcは、bashをログインシェルとして設定されたユーザがログインした際に実行される機構です。
ここにマルウェアの永続化機構を差し込みます。
- Systemdのユーザサービス
- 自己更新機構
EtherRATは、最初にC2に接続出来た際に、自分自身を更新することのできる機構を搭載しています。
EtherRATは、脆弱性を悪用して侵害を開始し、ブロックチェーンの仕組みを悪用したC2機構で環境変化に強い状態で動作します。
テイクダウンも容易ではありません。
感染してしまってから対応することは効率が良くないということになります。
より早い段階で対処することが効率的だと考えられます。
Shift Leftですね。
日々のパッチケイデンス維持で脅威にあう可能性を下げていきましょう。
EtherRAT: DPRK uses novel Ethereum implant in React2Shell attacks
https://www.sysdig.com/blog/etherrat-dprk-uses-novel-ethereum-implant-in-react2shell-attacks
| この記事をシェア |
|
|---|
