EtherRAT-Kampagne nutzt SEO-Vergiftung und GitHub-Fassaden, um Unternehmensadministratoren anzugreifen
Eine neue und gut geplante Malware-Kampagne zielt aktiv Enterprise-Administratoren, DevOps-Ingenieure Sicherheitsanalysten ab, indem sie deren alltägliche Suchgewohnheiten kapert.
Kurzfassung
Warum das wichtig ist
- Eine neue und gut geplante Malware-Kampagne zielt aktiv Enterprise-Administratoren, DevOps-Ingenieure Sicherheitsanalysten ab, indem sie deren alltägliche Suchgewohnheiten kapert.
- Anstatt Massen-Phishing oder breite Spam-Wellen zu nutzen, haben die hinter dieser Operation stehenden Bedrohungsakteure sorgfältig eine Lieferkette entwickelt, die gefährliche Software direkt vor hochprivilegierte IT-Fachkräfte platziert, wenn diese online nach routinemäßigen Verwaltungswerkzeugen suchen.
- Die Kampagne funktioniert, indem sie Suchmaschinenergebnisse auf mehreren großen Plattformen, darunter Bing, Yahoo, DuckDuckGo und Yandex, vergiftet.
Diese Repositories wirken sauber und legitim und enthalten oberflächlich keinen bösartigen Code. Sie fungieren rein als Gateway und leiten unbemerkt unwissende Benutzer an ein sekundäres, verstecktes GitHub-Konto weiter, auf dem die eigentliche Malware gehostet und verteilt wird.
Atos-Analysten identifizierten diese hochentwickelte, hochresistente bösartige Kampagne im März.
Forscher bestätigten, dass die Kampagne weiterhin sehr aktiv ist und seit ihrem Beginn eine erhebliche technische Reifung erfahren hat, wobei im Laufe der Zeit mehrere unterschiedliche Varianten und zusätzliche Command-and-Control (C2)-Infrastrukturen identifiziert wurden.
Die Malware im Zentrum dieser Kampagne
Die Malware im Zentrum dieser Kampagne ist ein mehrstufiger, fileless-artiger Remote Access Trojan (RAT), der in JavaScript geschrieben ist.
Atos-Forscher bestätigten, dass es sich um EtherRAT handelt, eine neu auftretende Bedrohung, die die Ethereum-Blockchain nutzt, um ihre Live-C2-Serveradresse zu speichern und dadurch traditionelle Domain-Takedown- oder IP-Blockierungsbemühungen effektiv verhindert.
Die Malware wird über bösartige MSI-Installationen verbreitet, die als Tools getarnt sind wie PsExec, AzCopy, Sysmon, LAPS und KustoExplorer, welche fast ausschließlich öhten Netzwerk- und Systemberechtigungen verwendet werden.
.webp)
Eine erfolgreiche Infektion auf dem Arbeitsplatz
Eine erfolgreiche Infektion auf dem Arbeitsplatz eines Administrators kann Bedrohungsakteuren die Schlüssel zu einem gesamten Unternehmensumfeld an die Hand geben. Das psychologische Element dieser Kampagne ist besonders aggressiv.
Viele der nachgeahmten Tools sind dieselben, die Sicherheitsexperten zur Untersuchung und Reaktion auf bösartige Aktivitäten verwenden.
Dies schafft eine ironische Situation, in der ein Verteidiger, der versucht, ein vermeintliches Problem mit einem Tool wie Process Explorer oder TCPView zu diagnostizieren, unwissentlich genau die Bedrohung einführt, die er zu finden versucht.
Moegliche Anwendungen
Zweistufige GitHub-Lieferkette Die Kampagne nutzt eine sorgfältig getrennte, zweistufige Lieferarchitektur, die darauf ausgelegt ist, auch dann aktiv zu bleiben, wenn Teile davon abgeschaltet werden. Das erste GitHub-Repository dient lediglich als ansehnliche Fassade.
Es ist SEO-optimiert und enthält eine professionelle README-Datei ohne bösartigen Code, wodurch anfänglich Vertrauen sowohl bei Benutzern als auch bei Sicherheitstools aufgebaut wird. Eingebettet in diese README befindet sich ein Link, der auf ein zweites, verstecktes GitHub-Konto verweist.
Dieses sekundäre Repository beherbergt die eigentliche bösartige MSI-Payload. Durch die Trennung der SEO-sichtbaren Storefront vom Payload-Lieferkonto können die Bedrohungsakteure ihre Verteilungs-Repositories schnell rotieren, falls diese markiert werden, während die primäre, über Suchmaschinen indexierte Fassade aktiv und unberührt bleibt.
.webp)
Zwischen Anfang Dezember 2024 und April
Zwischen Anfang Dezember 2024 und April 2026 setzten die Bedrohungsakteure 17 separate GitHub-Fassaden ein, die jeweils ein anderes Verwaltungs- oder Entwicklertools nachahmten, was auf einen anhaltenden Versuch hindeutet, die Suchmaschinen-Sichtbarkeit zu maximieren und eine vielfältige Reihe.
Malware vom Benutzer heruntergeladen (Quelle – Atos) Wenn ein Opfer die MSI herunterlädt und ausführt, werden vier Dateien extrahiert und ein CMD-Batch-Skript wird über eine benutzerdefinierte Aktion mit SYSTEM-Rechten unmittelbar nach der Dateiexraktion gestartet.
Der Einstiegspunkt ist ein stark verschleierter Windows-Batch-Skript, das nach der Dateiexraktion gestartet wird.
Sein primärer Verschleierungmechanismus teilt alle sensiblen
Sein primärer Verschleierungmechanismus teilt alle sensiblen Befehlsnamen, einschließlich curl, tar, copy, start und cmd, über mehrere SET-Variablenzuweisungen auf, die zur Laufzeit stillschweigend konkateniert werden, wodurch sichergestellt wird, dass keine erkennbaren Schlüsselwörter in der Rohdatei erscheinen und einfache stringbasierte statische Analysen umgangen werden.
Stufe 2 ist ein minimales Node.js-Skript, das nicht verschleiert und vollständig lesbar ist und niemals auf die Festplatte gespeichert wird.
Stufe-2-Code (Quelle – Atos) Sein Hauptziel ist es, eine Datei zu lesen, die eine verschlüsselte Nutzlast der zweiten Stufe enthält, diese mit einem hartkodierten Schlüssel und einem Initialisierungsvektor (IV) zu entschlüsseln und sie im Speicher auszuführen. Es erstellt auch Persistenz über einen Registry Run-Schlüssel.
.webp)
Stage 3 RAT (Quelle – Atos)
Stage 3 RAT (Quelle – Atos) Stage 3 ist die Hauptlast des Malware, eine JavaScript-Datei, die bei jedem Systemstart im Hintergrund in conhost.exe läuft, einem legitimen Windows-Prozess, sodass sie im Task-Manager nicht auffällt.
Blockieren Sie den Zugriff auf die öffentlichen Ethereum (ETH) RPC-Endpunkte, die , und die im Abschnitt „Appendices“ des Atos TRC GitHub-Repository aufgeführt sind.
Überprüfen Sie historische Netzwerkprotokolle, um jegliche ausgehenden Kommunikationen mit den aufgeführten RPC ETH-Endpunkten und identifizierten historischen C2-Domains zu ermitteln.
Erhöhen Sie das Bewusstsein des IT-Personals
Erhöhen Sie das Bewusstsein des IT-Personals hinsichtlich der Risiken, kritische Utilities aus Suchmaschinenergebnissen zu beziehen; verlangen Sie die Nutzung verifizierter interner Softwarezentren oder direkter, authentifizierter Anbieterportale für alle Verwaltungswerkzeuge.
Suchen Sie nach Verhaltensmustern in der Telemetrie: wiederholte, hochfrequente Beacons (alle ~500ms) an verdächtige externe Domains, periodische ausgehende Anfragen (alle ~ ) an öffentliche ETH RPC Endpunkte und verdächtige Prozessbäume, bei denen node.exe Prozesse Shell-Befehle ausführen.
Behandeln Sie jede Nutzung als einen potenziellen Indikator für die sekundären Stufen der EtherRAT-Payload. Sie uns auf
Der Beitrag EtherRAT Campaign Uses SEO Poisoning and GitHub Facades to Target Enterprise Admins erschien zuerst bei Cyber Security News.
Thema weiterverfolgen
Interne Verlinkung
Im Kontext weiterlesen
Diese weiterfuehrenden Links verbinden das Thema mit relevanten Archivseiten, Schlagwoertern und inhaltlich nahen Artikeln.
Technologie Archiv
Weitere Meldungen aus derselben Hauptkategorie.
Mehr von Cyber Security News
Alle veroeffentlichten Inhalte derselben Quelle im Archiv.
cPanelSniper: PoC-Exploit für cPanel-Schwachstelle enthüllt, 44.000 Server kompromittiert
Redaktionell verwandter Beitrag aus dem selben Themenumfeld.
WhatsApp erhöht die Mindestanforderungen: Was Nutzer mit älteren Android-Geräten bis 2026 wissen müssen
Redaktionell verwandter Beitrag aus dem selben Themenumfeld.
Quellenprofil
Quelle und redaktionelle Angaben
- Quelle
- Cyber Security News
- Originaltitel
- EtherRAT Campaign Uses SEO Poisoning and GitHub Facades to Target Enterprise Admins
- Canonical
- https://cybersecuritynews.com/etherrat-campaign-uses-seo-poisoning/
- Quell-URL
- https://cybersecuritynews.com/etherrat-campaign-uses-seo-poisoning/
Aehnliche Inhalte
Verwandte Themen und interne Verlinkung
Weitere Artikel aus aehnlichen Themenfeldern, damit Leser direkt im selben Kontext weiterlesen koennen.
cPanelSniper: PoC-Exploit für cPanel-Schwachstelle enthüllt, 44.000 Server kompromittiert
Ein gewaffeltes Proof-of-Concept (PoC) Exploit-Framework namens „cPanelSniper“ wurde für CVE-2026-41940 veröffentlicht, eine Authentifizierungs-Bypass mit maximaler Schwere in cPanel & WHM, die bereits Kompromittieru
02.05.2026
Live Redaktion
WhatsApp erhöht die Mindestanforderungen: Was Nutzer mit älteren Android-Geräten bis 2026 wissen müssen
WhatsApp erhöht die Mindestanforderungen und wird ab dem 8. September 2026 nur noch auf Geräten mit Android 6.0 oder neuer funktionieren. Nutzer mit älteren Android-Versionen, insbesondere in Regionen mit veralteter Hardware, müssen dringend auf ein Update oder ein neues Gerät umsteigen und sollten vorab ihren Chat-Verlauf sichern.
02.05.2026
Live Redaktion
Bungie zog im März Berichten zufolge 2,2 Millionen Spieler an, wobei die PC-Plattform die Zahlen der PS5 fast verdoppelte
Marathon, der neue Extraction Shooter Bungie und dessen erste Veröffentlichung außerhalb Destiny-Reihe seit Start des ersten Destiny-Spiels Jahr 2014, hatte einen mäßigen Start, um es milde auszudrücken.
02.05.2026
Live Redaktion
KI-Revolution in der Fotobearbeitung: iOS 27 bringt drei neue Funktionen für iPhones
iOS 27 soll die Fotobearbeitung auf Apple-Geräten durch drei neue KI-Funktionen revolutionieren: „Extend“ zum Vergrößern von Bildern, „Enhance“ zur Qualitätssteigerung und „Reframe“ zur nachträglichen Blickwinkelanpassung von räumlichen Fotos. Die Bearbeitung soll lokal auf den Geräten erfolgen, wobei die finale Veröffentlichung der Features möglicherweise verschoben wird.
02.05.2026
Live Redaktion