LabRat Malware

Коварен злонамерен софтуерен пакет, който е изключително труден за откриване, предизвика опасения поради очевидната си способност да заобикаля множество защитни мерки и протоколи за сигурност. Задълбочено проучване, проведено от експерти, разкри зловреден софтуер LabRat, който показва забележително ниво на сложност в своите стратегии да остане скрит и работещ, без да бъде открит.

За разлика от повечето подобни кибератаки, които дават приоритет на скоростта пред тънкостта, внедряването на зловреден софтуер LabRat демонстрира висока степен на усъвършенстване. Този актьор на заплаха щателно е проектирал своята операция с особено внимание към стелта, фактор, който много нападатели са склонни да пренебрегват. Тези добросъвестни усилия от страна на заплахата са готови значително да увеличат предизвикателствата, пред които са изправени защитниците при идентифицирането и противодействието на тази заплаха.

Злонамереният софтуер LabRat извършва крипто и прокси джакинг действия

Анализът на зловреден софтуер LabRat показва, че заплахата е сравнително типичен пример за инструмент за криптовалута и прокси кражба. В кампания за криптовалута нападателите използват тайно компютъра на жертвата, за да копаят криптовалута, като генерират печалби чрез експлоатиране на ресурсите на жертвата. От друга страна, кампанията за прихващане на прокси сървър включва тихо включване на компютъра на жертвата в peer-to-peer мрежа за споделяне на честотна лента, което облагодетелства атакуващия чрез разширяване на техните ресурси.

Методът на атака разчита на разпозната уязвимост в сървърите на GitLab (CVE-2021-2205), използвайки я за постигане на дистанционно изпълнение на код и въвеждане на полезния товар на зловреден софтуер в компрометираната машина.

Това, което отличава тази конкретна кампания за атака обаче, е забележителната отдаденост, проявена от създателите на зловреден софтуер при прикриването на кода им. Освен това, приемането на услугата TryCloudFlare за маршрутизиране на трафика добавя допълнителен слой, ефективно маскирайки самоличността на нападателите от системите, които са компрометирали.

Операцията LabRat Attack показва значителен фокус върху стелт

Злонамереният софтуер LabRat е подсилен със стабилно криптиране и усъвършенствани техники против обратно инженерство, което прави откриването му изключително трудна задача. Двоичните файлове за постоянство, кодирани в Go, показаха забележителна способност да останат незабелязани, както и компонентите на крипто-копачите, използвани от атаката.

Изследователите отбелязват, че групата LabRat е показала изключително ниво на ангажираност в усилията си да скрият кода, позволявайки на заплашителния полезен товар да работи тайно. Наистина, участниците в заплахата зад тази кампания изглежда поставят по-голям акцент върху поддържането на стелт в сравнение с много други, тъй като признават, че времето пряко съответства на увеличената финансова печалба. Колкото по-дълго могат да поддържат достъпа си, докато работят със софтуера за извличане на прокси и криптодобив, толкова по-голяма е тяхната парична възвръщаемост.

Важността да останете незабелязани е особено важна в контекста на прокси крикването, където ефективността на мрежа, която не може да бъде приписана, е пряко свързана с броя на възлите в нея. Ако броят на възлите намалее, услугата става уязвима да бъде блокирана или просто да стане неефективна.