LabRat-haittaohjelma

Salakavala haittaohjelmapaketti, jota on poikkeuksellisen vaikea havaita, on herättänyt huolta, koska se pystyy ohittamaan lukuisia suojatoimenpiteitä ja suojausprotokollia. Asiantuntijoiden tekemä perusteellinen tutkimus on paljastanut LabRat-haittaohjelman, jonka strategiat ovat erittäin kehittyneitä pysyä piilossa ja toiminnassa ilman, että sitä havaitaan.

Toisin kuin suurin osa samankaltaisista kyberhyökkäyksistä, joissa nopeus asetetaan etusijalle hienovaraisuuden edelle, LabRat-haittaohjelman käyttöönotto on erittäin kehittynyttä. Tämä uhkatekijä on suunnitellut toimintansa huolellisesti kiinnittäen erityistä huomiota varkain, tekijä, jonka monet hyökkääjät yleensä laiminlyövät. Nämä uhkatoimijan tunnolliset ponnistelut ovat valmiita lisäämään merkittävästi puolustajien kohtaamia haasteita tämän uhan tunnistamisessa ja torjumisessa.

LabRat-haittaohjelma suorittaa krypto- ja välityspalvelinkaappauksia

LabRat-haittaohjelman analyysi osoittaa, että uhka on suhteellisen tyypillinen salaus- ja välityspalvelimen kaappaustyökalu. Salauskampanjoissa hyökkääjät käyttävät salaisesti uhrin tietokonetta kryptovaluutan louhimiseen ja tuottavat voittoa käyttämällä hyväksi uhrin resursseja. Toisaalta välityspalvelimen kaappauskampanjaan kuuluu uhrin tietokoneen hiljainen värvääminen peer-to-peer kaistanleveyden jakamiseen, mikä hyödyttää hyökkääjää laajentamalla resurssejaan.

Hyökkäysmenetelmä perustuu tunnistettuun GitLab-palvelimien haavoittuvuuteen (CVE-2021-2205), joka hyödyntää sitä koodin etäsuorittamiseen ja haittaohjelmien tuottamiseen vaarantuneelle koneelle.

Tämän hyökkäyskampanjan erottaa kuitenkin haittaohjelmien tekijöiden huomattava omistautuminen koodinsa salaamiseen. Lisäksi TryCloudFlare-palvelun käyttöönotto liikenteen reitittämiseen lisää ylimääräisen kerroksen, joka peittää tehokkaasti hyökkääjien identiteetit heidän vaarantamistaan järjestelmistä.

LabRat Attack -operaatiossa keskitytään varkain

LabRat-haittaohjelma on vahvistettu vahvalla salauksella ja kehittyneillä käänteissuunnittelun estotekniikoilla, mikä tekee sen havaitsemisesta erittäin haastavan tehtävän. Go:hon koodatut pysyvyysbinaarit osoittivat huomattavaa kykyä pysyä huomaamattomina, samoin kuin hyökkäyksen käyttämät krypto-kaivoskomponentit.

Tutkijat havaitsivat, että LabRat-ryhmä oli osoittanut poikkeuksellista sitoutumista pyrkiessään hämärtämään koodia, mikä antoi uhkaavan hyötykuorman toimia piilossa. Itse asiassa tämän kampanjan takana olevat uhkatoimijat näyttävät painottavan varkain säilyttämistä moniin muihin verrattuna, koska he ymmärtävät, että aika vastaa suoraan lisääntynyttä taloudellista hyötyä. Mitä pidempään he voivat ylläpitää pääsyään välityspalvelimen katkaisu- ja salausohjelmiston käytön aikana, sitä suurempi on heidän rahallinen tuottonsa.

Huomaamattomaksi jäämisen tärkeys on erityisen merkittävä välityspalvelimen tunkeutumisen yhteydessä, jossa määrittämättömän verkon tehokkuus on suoraan yhteydessä sen sisällä olevien solmujen määrään. Jos solmujen määrä laskee, palvelusta tulee alttius estymiselle tai siitä tulee yksinkertaisesti tehoton.