Analyse van het beveiligingsbedrijf Sysdig toont aan dat de malware gebruik maakt van Ethereum-smart contracts om instructies te geven aan het systeem. Daarnaast zijn er maar liefst vijf verschillende Linux-persistentiemechanismen toegepast, waardoor de malware moeilijk te verwijderen is en maakt het gebruik van zijn eigen Node.js-runtime, waardoor de deze moeilijk te detecteren is.
React2Shell
De aanvalsketen begint met het uitbuiten van het kritieke lek in RSC, dat eerder deze maand bekend werd. Het stelt een aanvaller in staat om een Base64-gecodeerd shell-commando uit te voeren. Dat commando downloadt een shellscript via curl (of valt terug op wget of python3) dat de omgeving voorbereidt. Het script haalt Node.js versie 20.10.0 op, schrijft een versleutelde blob en een verhulde JavaScript-dropper naar schijf, verwijdert het shellscript om forensische sporen te beperken en voert vervolgens de dropper uit. De dropper ontsleutelt de EtherRAT-payload met een hard-gecodeerde sleutel en start deze met de gedownloade Node.js-binary.
Noord-Korea
Noord-Koreaanse hackergroepen opereren onder de Reconnaissance General Bureau, de militaire inlichtingendienst van het land. Hun activiteiten zijn gericht op drie hoofddoelen: het genereren van financiële middelen via cryptodiefstal en ransomware, het uitvoeren van spionage tegen defensie, overheden en technologiebedrijven, en het veroorzaken van sabotage bij geopolitieke spanningen. Bekende groepen zijn Lazarus, verantwoordelijk voor aanvallen zoals de Sony-hack en WannaCry en Bluenoroff (APT38) dat zich richt op banken en SWIFT-netwerken. Veel aanvallen richten zich cryptovaluta, waarmee sinds 2017 meer dan drie miljard dollar is buitgemaakt.
