EtherRAT là một biến thể mã độc ransomware và đánh cắp tài sản số nhắm vào người dùng Windows bằng cách ẩn bên trong bộ cài phần mềm đáng tin cậy. Chiến dịch này kết hợp kỹ thuật lây nhiễm truyền thống với cơ chế khai thác giao dịch blockchain, làm tăng rủi ro bảo mật trong môi trường người dùng cuối và hệ thống quản trị.
Chuỗi tấn công của EtherRAT trên Windows
EtherRAT được phát tán qua một bản cài đặt MSI giả mạo của Tftpd64, một công cụ TFTP và quản trị hệ thống thường dùng trên Windows. Bản cài đặt độc hại được lưu trên kho GitHub giả mạo dự án chính thức, với tên tải xuống như “Tftpd64 v4.74” để đánh lừa nạn nhân.
Cách tiếp cận này đặc biệt hiệu quả vì mục tiêu thường là IT administrator và nhân sự vận hành mạng, những người vốn tin cậy vào các công cụ quản trị phổ biến. Khi chạy trình cài đặt, mã độc tạo ra một điểm xâm nhập lặng lẽ vào hệ thống, làm giảm mức độ nghi ngờ đối với hoạt động của phần mềm đáng tin cậy.
Thành phần thả xuống và dấu vết trên hệ thống
Trong gói nén độc hại xuất hiện các tệp bất thường với phần mở rộng .dat, .cmd, .ini và .tmp. Các tệp này được đặt trong đường dẫn dưới local application data để hòa lẫn với nội dung hệ thống thông thường.
EtherRAT tạo một thư mục ẩn trong AppData và thả nhiều thành phần staged, bao gồm cả một Node.js runtime tự chứa. Việc đóng gói sẵn môi trường Node.js giúp mã độc thực thi mà không phụ thuộc vào interpreter đã cài trên máy, khiến việc phát hiện hành vi bất thường trở nên khó hơn.
Tin tức bảo mật: cơ chế duy trì tồn tại và thực thi
EtherRAT thiết lập persistence bằng một khóa Windows Run registry để ép conhost.exe gọi node.exe ở chế độ headless mỗi khi người dùng đăng nhập. Tải thực sự của mã độc được nạp từ một tệp .dat đã bị làm rối.
Chuỗi này cho phép remote code execution ở mức tiến trình người dùng mà không hiển thị cửa sổ, đồng thời che giấu sự hiện diện của Node.js trong bối cảnh không liên quan đến phát triển phần mềm.
Điều tra hệ thống và thu thập thông tin
Sau khi thiết lập tồn tại, EtherRAT bắt đầu thu thập thông tin hệ thống bằng các lệnh PowerShell chạy ẩn và không nạp profile. Các dữ liệu được thu thập gồm:
- System locale
- Tên GPU
- Phần mềm antivirus đăng ký trong Windows Security Center
- Active Directory domain membership
- MachineGuid của máy
Hành vi này phục vụ cho việc nhận diện môi trường, chuẩn bị cho các bước điều khiển tiếp theo và tăng độ chính xác khi vận hành trên hệ thống bị xâm nhập.
powershell -NoProfile -WindowStyle Hidden -Command "..."Lỗ hổng CVE không được nêu trực tiếp, nhưng chuỗi lây nhiễm vẫn đáng chú ý
Nội dung gốc không chỉ ra lỗ hổng CVE, CVSS hay mã khai thác cụ thể. Tuy vậy, đây vẫn là một cảnh báo CVE theo nghĩa vận hành vì mã độc tận dụng kho phần mềm giả mạo và niềm tin vào công cụ quản trị để đạt được xâm nhập trái phép.
Thay vì dựa vào lỗ hổng zero-day, chiến dịch khai thác quy trình phân phối phần mềm và thói quen tải installer từ nguồn không xác thực. Đây là một dạng mối đe dọa mạng kết hợp giữa lây nhiễm qua installer và đánh cắp tài sản số.
Kiến trúc hoạt động và liên lạc bên ngoài
Trong gói độc hại có nhiều Ethereum RPC endpoints từ Flashbots, Tenderly, LlamaRPC và DRPC, cùng một số địa chỉ ví Ethereum. Các thành phần này cho phép mã độc thực hiện tương tác on-chain, giải quyết beacon điều khiển qua dữ liệu blockchain, hoặc chuẩn bị cho hoạt động đánh cắp tài sản.
Mã độc cũng tải thêm một Node.js runtime từ máy chủ phân phối chính thức của Node.js bằng curl, đồng thời kết nối tới miền ngoài như wpuadmin[.]shop. Dữ liệu và thành phần payload được mã hóa bằng AES-256-CBC với khóa và vector khởi tạo đi kèm trong bundle.
curl -o node-runtime.zip https://nodejs.org/dist/...
Dấu hiệu quan sát và IOC
Các IOC trích xuất từ nội dung gồm:
- Domain: wpuadmin[.]shop
- Phần mềm bị giả mạo: Tftpd64 v4.74
- Tiến trình liên quan: conhost.exe
- Tiến trình liên quan: node.exe
- Thư mục đích: local application data / AppData
- Loại tệp: .dat, .cmd, .ini, .tmp
- Hạ tầng blockchain: Flashbots, Tenderly, LlamaRPC, DRPC
Giám sát phát hiện xâm nhập và giảm thiểu
Đội ngũ bảo mật nên chỉ tải phần mềm từ website chính thức của nhà phát triển và tránh mọi kho GitHub chưa được xác thực là nguồn gốc thật. Với phát hiện tấn công, cần theo dõi các khóa Windows Run registry có liên quan đến node.exe hoặc các tham số headless.
Nên cấu hình công cụ endpoint để phát hiện lưu lượng đi ra tới các Ethereum RPC endpoints từ tiến trình không phải trình duyệt. Bất kỳ hệ thống nào chạy Node.js âm thầm ngoài ngữ cảnh phát triển đều cần được xem là dấu hiệu của hệ thống bị tấn công và điều tra ngay lập tức.
Tham khảo thêm báo cáo gốc từ LevelBlue SpiderLabs: https://www.levelblue.com/blogs/spiderlabs-blog/crypto-drainers-as-a-converging-threat-insights-into-emerging-hybrid-attack-ecosystems
