EtherRAT: GitHub‑витрины и блокчейн‑C2, угроза для администраторов

Коллеги, хочу обратить внимание: в сфере кибербезопасности Atos TRC зафиксировал кампанию EtherRAT, где через SEO и GitHub‑витрины распространяют MSI, маскирующиеся под админ‑утилиты.
Механика: SEO → чистый README‑фасад → скрытый репозиторий с MSI.
C2: адрес хранится в Ethereum‑контракте; RAT читает его через публичные ETH RPC.
Цель: администраторы/DevOps с повышенными правами — риск «ключей от инфраструктуры».
Что делать: блокировать публичные ETH RPC, централизовать источник утилит, проверить логи и охотиться на поведение (node.exe, conhost --headless, частые beacons).
Почему это важно: обеспечивает длительный и скрытный доступ к критичной инфраструктуре.
Как Вы проверяете происхождение админ‑утилит у Вас в организации?
#кибербезопасность #ThreatIntel #EtherRAT #DevOps


Последние комментарии
Комментариев пока нет.