البرمجيات الخبيثة LabRat
أثارت حزمة البرامج الضارة الخبيثة التي يصعب اكتشافها بشكل استثنائي مخاوف بسبب قدرتها الواضحة على تجاوز العديد من الإجراءات الدفاعية وبروتوكولات الأمان. كشفت الأبحاث المتعمقة التي أجراها الخبراء عن البرنامج الضار LabRat، الذي يُظهر مستوى ملحوظًا من التطور في استراتيجياته ليظل مخفيًا وعاملاً دون أن يتم اكتشافه.
على عكس غالبية الهجمات السيبرانية المماثلة التي تعطي الأولوية للسرعة على الدقة، فإن نشر البرمجيات الخبيثة LabRat يُظهر درجة عالية من التعقيد. لقد صمم ممثل التهديد هذا عمليته بدقة مع إيلاء اهتمام خاص للتسلل، وهو عامل يميل العديد من المهاجمين إلى إهماله. ومن المتوقع أن تؤدي هذه الجهود المخلصة من جانب جهة التهديد إلى زيادة التحديات التي يواجهها المدافعون بشكل كبير في تحديد هذا التهديد ومواجهته.
تنفذ البرمجيات الخبيثة LabRat إجراءات التشفير واختطاف البروكسي
يُظهر تحليل البرمجيات الخبيثة LabRat أن التهديد هو مثال نموذجي نسبيًا لأداة التعدين الخفي واختراق الوكيل. في حملة التعدين الخفي، يستخدم المهاجمون جهاز الكمبيوتر الخاص بالضحية سرًا لتعدين العملة المشفرة، مما يؤدي إلى تحقيق أرباح من خلال استغلال موارد الضحية. من ناحية أخرى، تتضمن حملة اختراق الوكيل إدراج كمبيوتر الضحية بهدوء في شبكة مشاركة النطاق الترددي من نظير إلى نظير، مما يفيد المهاجم من خلال توسيع موارده.
تعتمد طريقة الهجوم على ثغرة أمنية معترف بها داخل خوادم GitLab (CVE-2021-2205)، واستغلالها لتنفيذ التعليمات البرمجية عن بعد وإدخال حمولة البرامج الضارة إلى الجهاز المخترق.
ومع ذلك، فإن ما يميز حملة الهجوم هذه هو التفاني الملحوظ الذي أظهره منشئو البرامج الضارة في إخفاء أكوادهم البرمجية. علاوة على ذلك، فإن اعتماد خدمة TryCloudFlare لتوجيه حركة المرور يضيف طبقة إضافية، مما يؤدي إلى إخفاء هويات المهاجمين بشكل فعال عن الأنظمة التي قاموا باختراقها.
تُظهر عملية هجوم LabRat تركيزًا كبيرًا على التخفي
تم تعزيز البرمجيات الخبيثة LabRat بتشفير قوي وتقنيات متطورة مضادة للهندسة العكسية، مما يجعل اكتشافها مهمة صعبة للغاية. أظهرت الثنائيات الدائمة، المشفرة في Go، قدرة رائعة على البقاء دون أن يلاحظها أحد، كما فعلت مكونات تعدين العملات المشفرة المستخدمة في الهجوم.
لاحظ الباحثون أن مجموعة LabRat أظهرت مستوى استثنائيًا من الالتزام في مساعيها لإخفاء التعليمات البرمجية، مما سمح لحمولة التهديد بالعمل سرًا. وفي الواقع، يبدو أن الجهات التهديدية التي تقف وراء هذه الحملة تركز بشكل أكبر على الحفاظ على التخفي مقارنة بالعديد من الجهات الأخرى، حيث تدرك أن الوقت يتوافق بشكل مباشر مع زيادة المكاسب المالية. وكلما طالت فترة تمكنهم من الحفاظ على وصولهم أثناء تشغيل برامج اختراق الوكيل والتشفير، زادت عوائدهم المالية.
إن أهمية البقاء دون أن يلاحظها أحد تكون ذات أهمية خاصة في سياق سرقة الوكيل، حيث ترتبط فعالية الشبكة غير المنسوبة بشكل مباشر بعدد العقد داخلها. إذا تضاءل عدد العقد، تصبح الخدمة عرضة للحظر أو تصبح ببساطة غير فعالة.
