LabRat Malware
En snigende malwarepakke, der er usædvanlig svær at opdage, har udløst bekymringer på grund af dens tilsyneladende evne til at omgå adskillige defensive foranstaltninger og sikkerhedsprotokoller. Dybdegående forskning udført af eksperter har afsløret LabRat malware, som udviser et bemærkelsesværdigt niveau af sofistikering i sine strategier til at forblive skjult og operationelt uden at blive opdaget.
I modsætning til de fleste lignende cyberangreb, der prioriterer hastighed frem for subtilitet, demonstrerer implementeringen af LabRat-malwaren en høj grad af sofistikering. Denne trusselsaktør har omhyggeligt designet deres operation med særlig opmærksomhed på stealth, en faktor som mange angribere har en tendens til at negligere. Disse samvittighedsfulde bestræbelser fra trusselsaktørens side er klar til betydeligt at øge de udfordringer, som forsvarere står over for med at identificere og imødegå denne trussel.
LabRat Malware udfører krypto- og proxyjacking-handlinger
Analyse af LabRat-malwaren viser, at truslen er en relativt typisk forekomst af et cryptojacking- og proxy-jacking-værktøj. I en cryptojacking-kampagne bruger angriberne ofrets computer skjult til at mine kryptovalutaer, hvilket genererer overskud ved at udnytte ofrets ressourcer. På den anden side involverer en proxy-jacking-kampagne stille og roligt at indrullere ofrets computer i et peer-to-peer-båndbreddedelingsnetværk, hvilket gavner angriberen ved at udvide deres ressourcer.
Angrebsmetoden er afhængig af en anerkendt sårbarhed inden for GitLab-servere (CVE-2021-2205), der udnytter den til at opnå fjernudførelse af kode og introducere malware-nyttelasten på den kompromitterede maskine.
Det, der dog kendetegner denne særlige angrebskampagne, er den bemærkelsesværdige dedikation, som malware-skaberne udviser ved at skjule deres kode. Desuden tilføjer adoptionen af TryCloudFlare-tjenesten til at dirigere trafikken et ekstra lag, der effektivt maskerer angribernes identiteter fra de systemer, de har kompromitteret.
LabRat-angrebsoperationen viser betydeligt fokus på stealth
LabRat-malwaren er forstærket med robust kryptering og sofistikerede anti-reverse engineering-teknikker, hvilket gør dets opdagelse til en yderst udfordrende opgave. Persistens-binære filer, kodet i Go, udviste en bemærkelsesværdig evne til at forblive ubemærket, ligesom kryptominer-komponenterne, der blev brugt af angrebet.
Forskere observerede, at LabRat-gruppen havde udvist et exceptionelt niveau af engagement i deres bestræbelser på at sløre koden, hvilket gjorde det muligt for den truende nyttelast at fungere i det skjulte. Trusselsaktørerne bag denne kampagne ser faktisk ud til at lægge større vægt på at bevare stealth sammenlignet med mange andre, da de erkender, at tid direkte svarer til øget økonomisk gevinst. Jo længere de kan opretholde deres adgang, mens de kører proxy-jacking- og kryptomineringssoftwaren, jo større er deres pengeudbytte.
Vigtigheden af at forblive ubemærket er særlig vigtig i forbindelse med proxy-jacking, hvor effektiviteten af et ikke-tilskriveligt netværk er direkte forbundet med antallet af noder i det. Skulle nodetallet falde, bliver tjenesten sårbar over for at blive blokeret eller simpelthen blive ineffektiv.
