クラウドおよびコンテナベースのアプリ保護を専門とする企業Sysdigのサイバーセキュリティ研究チームは、重大なCVE-2025-55182 React2Shell脆弱性を悪用するために展開されている新たなマルウェア「EtherRAT」を発見した。
この発見は、脆弱性が公表されてからわずか2日後の2025年12月5日に行われた。
最大深刻度の脆弱性
この欠陥は、研究者Lachlan Davidsonによって2025年12月3日に初めて公開され、React Server Components(RSC)およびNext.jsのようなフレームワークに影響を与える。これは、認証されていない攻撃者が安全でないデシリアライゼーションの欠陥を通じてサーバー上でリモートコード実行(RCE)を行える、最大深刻度の問題である。CISAは2025年12月5日に、この欠陥を既知の悪用脆弱性(KEV)カタログに追加し、実際に攻撃で積極的に悪用されていることを確認した。
単純な窃取から高度なEtherRATへ
Sysdig TRTの最新調査によると、React2Shell脆弱性の危険性は急速に拡大している。初期段階の悪用は、機会主義的なクリプトマイナーによるペイロードや、認証情報窃取ツールやバックドアを展開する高度な中国系グループが主導していたが、Sysdigの調査により、EtherRATはこうした活動のエスカレーションを示すものであることが明らかになった。
EtherRATは永続的なアクセスを目的としたインプラントであり、少なくとも3つの既知キャンペーンからの手法を組み合わせ、これまで報告されていなかった単一の攻撃チェーンを構成している。このマルウェアが特異なのは、コマンド&コントロール(C2)の解決にEthereumスマートコントラクトを使用し、活動継続のために5つの個別のLinux防御機構をインストールし、Node.js公式サイト(nodejs.org)から自前のNode.jsソフトウェアを直接ダウンロードする点である。研究者によれば、このような機能の組み合わせは、React2Shell脆弱性を悪用する攻撃では前例がないという。
EtherRATのコマンドセンターと帰属
EtherRATの最も顕著な特徴は、そのコマンド&コントロール(C2)センターである。ブロックされる可能性のある通常のウェブサイトアドレスに依存する代わりに、Ethereumのスマートコントラクト(分散型台帳上に保存されたコード)を利用している。これは極めて高いレジリエンスを示しており、プログラムはEthereumネットワークへの9つの異なる公開接続ポイントをチェックし、その大多数が合意したアドレスを使用する。このコンセンサスメカニズムは、単一の権限によるシャットダウンから保護するための仕組みだ。
永続的なバックドアを保証するため、このプログラムは長期的なステルス性を念頭に設計されており、システム上で再起動を確実にする5つの異なる手段を確立している。TRTはまた、このソフトウェアが北朝鮮系ハッカーグループと関連していると考えており、その理由として「北朝鮮関連の『Contagious Interview』(DPRK)ツール群との顕著な重なり」を挙げている。
特に、EtherRATがファイルを暗号化する方法は、既知の北朝鮮ツールであるBeaverTail マルウェアと非常によく似ている。研究者らは、ファイル暗号化手法が北朝鮮関連キャンペーンのツール群と密接に一致していることを示す比較画像を提示した。
Sysdig TRTは、Hackread.comと共有したブログ記事の中で、EtherRATの高度な設計は「React2Shell悪用における重要な進化を示している」と結論づけている。
Casey Ellis氏(Bugcrowd創業者)は、EtherRAT発見の重要性についてHackread.comにコメントを寄せ、次のように述べている。「攻撃者の視点から見ると、react2shellは犯罪にとって莫大な機会をもたらす種類の脆弱性だが、その一方で悪用できる時間的な猶予は比較的短い……。こうした要素がすべて相まって、ここで説明されているような非常に迅速かつ組織的なキャンペーンにつながるのだ。」
翻訳元: https://hackread.com/north-korean-hackers-etherrat-malware-react2shell/
