Malware LabRat

Zákeřný balíček malwaru, který je mimořádně obtížné odhalit, vyvolal obavy kvůli své zjevné schopnosti obejít četná obranná opatření a bezpečnostní protokoly. Hloubkový výzkum provedený odborníky odhalil malware LabRat, který vykazuje pozoruhodnou úroveň sofistikovanosti ve svých strategiích, aby zůstal skrytý a funkční, aniž by byl odhalen.

Na rozdíl od většiny podobných kybernetických útoků, které upřednostňují rychlost před jemností, ukazuje nasazení malwaru LabRat vysoký stupeň sofistikovanosti. Tento aktér hrozeb pečlivě navrhl jejich operace se zvláštním důrazem na utajení, což je faktor, který má mnoho útočníků tendenci zanedbávat. Toto svědomité úsilí ze strany aktéra hrozby je připraveno výrazně zvýšit výzvy, kterým čelí obránci při identifikaci této hrozby a boji proti ní.

Malware LabRat provádí akce krypto a proxyjacking

Analýza malwaru LabRat ukazuje, že hrozba je relativně typickým příkladem nástroje pro kryptojacking a proxy jacking. V cryptojacking kampani útočníci skrytě využívají počítač oběti k těžbě kryptoměny, čímž generují zisky využíváním zdrojů oběti. Na druhou stranu, proxy-jacking kampaň zahrnuje tiché zapojení počítače oběti do sítě se sdílením šířky pásma typu peer-to-peer, což útočníkovi prospívá rozšířením jeho zdrojů.

Metoda útoku se opírá o rozpoznanou zranitelnost serverů GitLab (CVE-2021-2205), která ji využívá k dosažení vzdáleného spuštění kódu a zavedení malwaru na napadený stroj.

To, co odlišuje tuto konkrétní útočnou kampaň, je však pozoruhodné odhodlání tvůrců malwaru při skrývání jejich kódu. Navíc přijetí služby TryCloudFlare pro směrování provozu přidává další vrstvu, která účinně maskuje identity útočníků před systémy, které kompromitovali.

Operace LabRat Attack ukazuje významné zaměření na utajení

Malware LabRat je posílen robustním šifrováním a sofistikovanými technikami proti zpětnému inženýrství, díky čemuž je jeho detekce mimořádně náročným úkolem. Perzistentní binární soubory zakódované v Go vykazovaly pozoruhodnou schopnost zůstat bez povšimnutí, stejně jako komponenty krypto-těžařů použité při útoku.

Výzkumníci zjistili, že skupina LabRat projevila výjimečnou úroveň odhodlání ve snaze zakrýt kód, což umožnilo skrytou činnost ohrožujícího užitečného zatížení. Ve skutečnosti se zdá, že aktéři hrozeb stojící za touto kampaní kladou větší důraz na zachování utajení ve srovnání s mnoha jinými, protože uznávají, že čas přímo odpovídá zvýšenému finančnímu zisku. Čím déle si mohou udržet svůj přístup při spuštění proxy jackingu a kryptominačního softwaru, tím větší jsou jejich peněžní výnosy.

Důležitost zůstat bez povšimnutí je zvláště významná v kontextu proxy jackingu, kde je efektivita nepřiřaditelné sítě přímo spojena s počtem uzlů v ní. Pokud se počet uzlů sníží, služba se stane zranitelnou vůči zablokování nebo se jednoduše stane neúčinnou.