2026年3月,eSentire的安全分析师在一名零售客户的系统里揪出了一个怪东西。它不像传统木马那样连接固定服务器,而是每隔几分钟就查询以太坊区块链——查的不是币价,是一段藏在智能合约里的字符串。那是它的新老板地址。
区块链成了杀不死的通讯录
这个叫EtherRAT的后门,核心 trick 叫EtherHiding(以太隐藏)。攻击者把指挥控制地址(C2)直接写进以太坊智能合约, malware 启动时通过公共RPC节点读取链上数据。Sysdig的研究人员追踪发现,同一批攻击者还运营着"Contagious Interview" campaign——假装招聘人员或技术支持,通过社交工程投递 payload。
智能合约一旦部署,没有任何外部权威能删除或修改区块链记录。攻击者想换服务器?只需更新合约里的字符串,成本不到几美元 gas 费。全球所有已感染的机器会在下次心跳时自动同步新地址,像一群候鸟突然改变航线。
eSentire注意到,同一个以太坊合约地址出现在多个客户案例中,目标横跨零售、金融、软件、商业服务。这不是偶发事件,是持续扩张的多行业战役。
Node.js 后门与自毁开关
EtherRAT基于Node.js运行,赋予攻击者完整远程控制:执行命令、窃取加密货币钱包、抽取云凭证。它足够安静,足够贪婪。
代码层面,eSentire发现EtherRAT与Tsundere(一款恶意软件即服务 botnet)存在显著重叠。两者都执行操作系统指纹采集,并检查受害者机器是否使用独联体(CIS)区域语言——如果检测到俄语等语言,程序立即自毁。这种地理围栏策略明确指向特定国家背景的攻击者。
朝鲜APT组织的技术特征与此吻合。Sysdig通过战术、技术与程序(TTP)重叠,将EtherRAT与"Contagious Interview" campaign关联,后者已被广泛归因于朝鲜国家支持的黑客。
两条入侵路径:都不需要漏洞
TRU(eSentire威胁响应单元)调查的具体案例中,攻击者使用了ClickFix技术。他们诱导受害者执行一段通过Windows组件pcalua.exe间接运行的命令,静默从被攻陷网站拉取恶意HTA脚本。没有0-day,没有未修补的漏洞,只有对人性的精确计算。
更多观察到的案例则走另一条路:攻击者冒充IT支持人员,通过Microsoft Teams联系目标,诱导对方启用QuickAssist远程协助工具。一旦屏幕共享建立,攻击者便获得未授权访问权限。
两种方法都依赖欺骗真人,而非利用软件缺陷。这意味着补丁管理再完美的系统同样暴露——人的漏洞无法通过更新修复。
RPC 冗余与对抗性设计
EtherRAT的技术细节暴露了其对抗防御的精心设计。启动时,它同时查询多个公共以太坊RPC提供商(如Infura、Alchemy等),比对返回结果,选择最一致的那个作为活跃C2地址。这种冗余设计防止单一节点故障或审查导致失联。
攻击者通过setString函数向合约推送新服务器地址。旧感染机器无需重新部署,一次链上交易即可重新收编。传统C2基础设施被查封即断链,而区块链上的地址是永恒的——你只能追逐一个不断移动的靶子。
这种架构转变代表了恶意软件基础设施的进化方向。域名前置、Fast Flux、P2P网络都曾用于增强韧性,但EtherHiding将C2抽象层提升到去中心化账本,触及了传统执法和防御行动的边界。
以太坊的不可篡改性在此成为攻击者的盾牌。安全团队可以标记地址、监控交易,但无法强制下架合约。链上分析能追踪资金流向,却阻止不了字符串更新——那是智能合约的合法功能。
eSentire的报告没有披露具体感染规模,但跨行业、多客户的分布暗示了广泛 footprint。零售、金融、软件、商业服务——这些行业的共同点是云凭证价值和加密货币持有量。
朝鲜黑客组织近年持续迭代其工具链,从AppleJeus加密货币窃取框架到DTrack后门,再到现在的EtherHiding。制裁压力下的资源匮乏,似乎催生了更具成本效益的技术创新。
防御建议回到了老生常谈却难以落实的基本面:终端行为监控、PowerShell/HTA执行限制、Teams外部访问控制、员工社交工程演练。技术对策存在,但对抗的是精心设计的信任剥削。
当安全团队终于定位到那个以太坊地址,攻击者可能已经在链上完成了下一次更新。区块链的公开透明与不可阻挡,在此刻呈现出矛盾的双面性——它既是审计工具,也是犯罪基础设施的永久宿主。
如果下一次查询返回的新地址,指向的是某个去中心化存储网络或跨链桥接合约呢?追踪的复杂度将指数级上升,而防御者的响应窗口,可能只剩一次区块确认的时间。
热门跟贴