بدافزار LabRat
یک بسته بدافزار موذی که شناسایی آن فوقالعاده دشوار است، به دلیل توانایی ظاهری آن برای دور زدن اقدامات دفاعی و پروتکلهای امنیتی متعدد نگرانیهایی را ایجاد کرده است. تحقیقات عمیق انجام شده توسط کارشناسان، بدافزار LabRat را پرده برداری کرده است که سطح قابل توجهی از پیچیدگی را در استراتژی های خود نشان می دهد تا پنهان بماند و بدون شناسایی عملیاتی بماند.
برخلاف اکثر حملات سایبری مشابه که سرعت را بر ظرافت ترجیح می دهند، استقرار بدافزار LabRat درجه بالایی از پیچیدگی را نشان می دهد. این عامل تهدید، عملیات خود را با توجه ویژه به پنهان کاری طراحی کرده است، عاملی که بسیاری از مهاجمان تمایل دارند از آن غفلت کنند. این تلاشهای وجدانی از سوی عامل تهدید، به طور قابل توجهی چالشهای پیش روی مدافعان را در شناسایی و مقابله با این تهدید افزایش میدهد.
بدافزار LabRat اقدامات Crypto و Proxyjacking را انجام می دهد
تجزیه و تحلیل بدافزار LabRat نشان میدهد که این تهدید یک نمونه نسبتاً معمولی از یک ابزار cryptojacking و proxy jacking است. در یک کمپین cryptojacking، مهاجمان از رایانه قربانی به طور مخفیانه برای استخراج ارز دیجیتال استفاده میکنند و با بهرهبرداری از منابع قربانی، سود ایجاد میکنند. از سوی دیگر، یک کمپین جک پروکسی شامل ثبت بی سر و صدا کامپیوتر قربانی در یک شبکه اشتراک گذاری پهنای باند همتا به همتا است که با گسترش منابع مهاجم به نفع خود است.
روش حمله متکی به یک آسیبپذیری شناخته شده در سرورهای GitLab (CVE-2021-2205) است که از آن برای دستیابی به اجرای کد از راه دور و معرفی بار بدافزار به ماشین آسیبدیده استفاده میکند.
با این حال، آنچه این کمپین حمله خاص را متمایز می کند، تعهد قابل توجهی است که سازندگان بدافزار در پنهان کردن کد خود از خود نشان دادند. علاوه بر این، استفاده از سرویس TryCloudFlare برای مسیریابی ترافیک، یک لایه اضافی اضافه میکند و به طور موثر هویت مهاجمان را از سیستمهایی که به خطر انداختهاند پنهان میکند.
عملیات حمله موش آزمایشگاهی تمرکز قابل توجهی بر مخفی کاری نشان می دهد
بدافزار LabRat با رمزگذاری قوی و تکنیک های پیچیده ضد مهندسی معکوس تقویت شده است که تشخیص آن را به یک کار بسیار چالش برانگیز تبدیل می کند. باینریهای تداوم، که در Go کدگذاری شدهاند، توانایی قابل توجهی را برای پنهان ماندن از خود نشان میدهند، همانطور که مؤلفههای crypto-miner به کار گرفتهشده در حمله.
محققان مشاهده کردند که گروه LabRat تعهدی استثنایی در تلاشهای خود برای پنهان کردن کد از خود نشان دادهاند و به محموله تهدیدکننده اجازه میدهد تا مخفیانه عمل کند. در واقع، به نظر می رسد که عوامل تهدید پشت این کمپین در مقایسه با بسیاری دیگر، تأکید بیشتری بر حفظ پنهان کاری دارند، زیرا آنها تشخیص می دهند که زمان به طور مستقیم با افزایش سود مالی مطابقت دارد. هر چه آنها بتوانند دسترسی خود را در حین اجرای نرم افزار جک پراکسی و رمزنگاری رمزنگاری شده حفظ کنند، بازده پولی آنها بیشتر می شود.
اهمیت نادیده ماندن به ویژه در زمینه جک پراکسی مهم است، جایی که اثربخشی یک شبکه غیر قابل انتساب مستقیماً به تعداد گرههای درون آن مرتبط است. اگر تعداد گره ها کاهش یابد، سرویس در برابر مسدود شدن یا به سادگی بی اثر شدن آسیب پذیر می شود.