بدافزار LabRat

یک بسته بدافزار موذی که شناسایی آن فوق‌العاده دشوار است، به دلیل توانایی ظاهری آن برای دور زدن اقدامات دفاعی و پروتکل‌های امنیتی متعدد نگرانی‌هایی را ایجاد کرده است. تحقیقات عمیق انجام شده توسط کارشناسان، بدافزار LabRat را پرده برداری کرده است که سطح قابل توجهی از پیچیدگی را در استراتژی های خود نشان می دهد تا پنهان بماند و بدون شناسایی عملیاتی بماند.

برخلاف اکثر حملات سایبری مشابه که سرعت را بر ظرافت ترجیح می دهند، استقرار بدافزار LabRat درجه بالایی از پیچیدگی را نشان می دهد. این عامل تهدید، عملیات خود را با توجه ویژه به پنهان کاری طراحی کرده است، عاملی که بسیاری از مهاجمان تمایل دارند از آن غفلت کنند. این تلاش‌های وجدانی از سوی عامل تهدید، به طور قابل توجهی چالش‌های پیش روی مدافعان را در شناسایی و مقابله با این تهدید افزایش می‌دهد.

بدافزار LabRat اقدامات Crypto و Proxyjacking را انجام می دهد

تجزیه و تحلیل بدافزار LabRat نشان می‌دهد که این تهدید یک نمونه نسبتاً معمولی از یک ابزار cryptojacking و proxy jacking است. در یک کمپین cryptojacking، مهاجمان از رایانه قربانی به طور مخفیانه برای استخراج ارز دیجیتال استفاده می‌کنند و با بهره‌برداری از منابع قربانی، سود ایجاد می‌کنند. از سوی دیگر، یک کمپین جک پروکسی شامل ثبت بی سر و صدا کامپیوتر قربانی در یک شبکه اشتراک گذاری پهنای باند همتا به همتا است که با گسترش منابع مهاجم به نفع خود است.

روش حمله متکی به یک آسیب‌پذیری شناخته شده در سرورهای GitLab (CVE-2021-2205) است که از آن برای دستیابی به اجرای کد از راه دور و معرفی بار بدافزار به ماشین آسیب‌دیده استفاده می‌کند.

با این حال، آنچه این کمپین حمله خاص را متمایز می کند، تعهد قابل توجهی است که سازندگان بدافزار در پنهان کردن کد خود از خود نشان دادند. علاوه بر این، استفاده از سرویس TryCloudFlare برای مسیریابی ترافیک، یک لایه اضافی اضافه می‌کند و به طور موثر هویت مهاجمان را از سیستم‌هایی که به خطر انداخته‌اند پنهان می‌کند.

عملیات حمله موش آزمایشگاهی تمرکز قابل توجهی بر مخفی کاری نشان می دهد

بدافزار LabRat با رمزگذاری قوی و تکنیک های پیچیده ضد مهندسی معکوس تقویت شده است که تشخیص آن را به یک کار بسیار چالش برانگیز تبدیل می کند. باینری‌های تداوم، که در Go کدگذاری شده‌اند، توانایی قابل توجهی را برای پنهان ماندن از خود نشان می‌دهند، همانطور که مؤلفه‌های crypto-miner به کار گرفته‌شده در حمله.

محققان مشاهده کردند که گروه LabRat تعهدی استثنایی در تلاش‌های خود برای پنهان کردن کد از خود نشان داده‌اند و به محموله تهدیدکننده اجازه می‌دهد تا مخفیانه عمل کند. در واقع، به نظر می رسد که عوامل تهدید پشت این کمپین در مقایسه با بسیاری دیگر، تأکید بیشتری بر حفظ پنهان کاری دارند، زیرا آنها تشخیص می دهند که زمان به طور مستقیم با افزایش سود مالی مطابقت دارد. هر چه آنها بتوانند دسترسی خود را در حین اجرای نرم افزار جک پراکسی و رمزنگاری رمزنگاری شده حفظ کنند، بازده پولی آنها بیشتر می شود.

اهمیت نادیده ماندن به ویژه در زمینه جک پراکسی مهم است، جایی که اثربخشی یک شبکه غیر قابل انتساب مستقیماً به تعداد گره‌های درون آن مرتبط است. اگر تعداد گره ها کاهش یابد، سرویس در برابر مسدود شدن یا به سادگی بی اثر شدن آسیب پذیر می شود.