תוכנת זדונית LabRat
חבילת תוכנות זדוניות ערמומיות שקשה במיוחד לזהות עוררה חששות בשל יכולתה לכאורה לעקוף אמצעי הגנה ופרוטוקולי אבטחה רבים. מחקר מעמיק שנערך על ידי מומחים חשף את התוכנה הזדונית LabRat, אשר מציגה רמה מדהימה של תחכום באסטרטגיות שלה להישאר מוסתרים ומבצעיים מבלי להתגלות.
בניגוד לרוב התקפות סייבר דומות שמתעדפות מהירות על פני עדינות, פריסת תוכנת הזדונית LabRat מדגימה רמה גבוהה של תחכום. שחקן האיום הזה עיצב בקפידה את פעולתם תוך תשומת לב מיוחדת להתגנבות, גורם שתוקפים רבים נוטים להזניח. מאמצים מצפוניים אלה מצד שחקן האיום מוכנים להגביר באופן משמעותי את האתגרים העומדים בפני המגינים בזיהוי והתמודדות עם איום זה.
תוכנת זדונית LabRat מבצעת פעולות קריפטו ו-Proxyjacking
ניתוח של תוכנת הזדונית LabRat מראה שהאיום הוא מופע טיפוסי יחסית של כלי קריפטו-jacking ו-proxy jacking. במסע חטיפי קריפטו, התוקפים מנצלים את המחשב של הקורבן בחשאי כדי לכרות מטבעות קריפטוגרפיים, ומייצרים רווחים על ידי ניצול המשאבים של הקורבן. מצד שני, קמפיין של פריצת פרוקסי כולל גיוס שקט של המחשב של הקורבן לרשת שיתוף רוחב פס עמית לעמית, מה שמועיל לתוקף על ידי הרחבת המשאבים שלו.
שיטת ההתקפה מסתמכת על פגיעות מוכרת בתוך שרתי GitLab (CVE-2021-2205), תוך ניצול זה כדי להשיג ביצוע קוד מרחוק ולהחדר את מטען התוכנה הזדונית למחשב שנפרץ.
עם זאת, מה שמייחד את מסע התקיפה המסוים הזה הוא המסירות הבולטת שהפגינו יוצרי תוכנות זדוניות בהסתרת הקוד שלהם. יתר על כן, האימוץ של שירות TryCloudFlare לניתוב התעבורה מוסיף שכבה נוספת, המסווה למעשה את זהותם של התוקפים מהמערכות שעליהן התפשרו.
מבצע מתקפת LabRat מראה התמקדות משמעותית בהתגנבות
התוכנה הזדונית LabRat מחוזקת בהצפנה חזקה ובטכניקות מתוחכמות נגד הנדסה הפוכה, מה שהופך את הזיהוי שלה למשימה מאתגרת ביותר. הקבצים הבינאריים המתמשכים, המקודדים ב-Go, הפגינו יכולת יוצאת דופן להישאר ללא תשומת לב, וכך גם רכיבי הכורה הקריפטו שהופעלו בהתקפה.
חוקרים הבחינו כי קבוצת LabRat הפגינה רמה יוצאת דופן של מחויבות במאמציהם לטשטש את הקוד, מה שאפשר למטען המאיים לפעול באופן סמוי. ואכן, נראה ששחקני האיום מאחורי הקמפיין הזה שמים דגש גדול יותר על שמירה על התגנבות בהשוואה לרבים אחרים, מכיוון שהם מכירים בכך שהזמן תואם ישירות לרווח כספי מוגבר. ככל שהם יכולים לשמור על הגישה שלהם בזמן הפעלת תוכנת ה-proxy jacking ו-cryptomining, כך תגדל התשואה הכספית שלהם.
החשיבות של להישאר ללא תשומת לב משמעותית במיוחד בהקשר של jacking proxy, שבו האפקטיביות של רשת בלתי ניתנת לייחס מקושרת ישירות למספר הצמתים בתוכה. אם ספירת הצמתים תתדלדל, השירות הופך להיות פגיע לחסימה או פשוט חוסר אפקטיביות.
