LabRat Malware

Podmukli paket zlonamjernog softvera koji je izuzetno teško otkriti izazvao je zabrinutost zbog njegove očite sposobnosti da zaobiđe brojne obrambene mjere i sigurnosne protokole. Detaljno istraživanje koje su proveli stručnjaci otkrilo je zlonamjerni softver LabRat, koji pokazuje izvanrednu razinu sofisticiranosti u svojim strategijama da ostane skriven i operativan a da ne bude otkriven.

Za razliku od većine sličnih cyber napada koji daju prednost brzini ispred suptilnosti, implementacija zlonamjernog softvera LabRat pokazuje visok stupanj sofisticiranosti. Ovaj akter prijetnje pomno je osmislio svoje operacije s posebnom pažnjom na nevidljivost, faktor koji mnogi napadači obično zanemaruju. Ovi savjesni napori od strane aktera prijetnje spremni su značajno povećati izazove s kojima se branitelji suočavaju u identificiranju i suprotstavljanju ovoj prijetnji.

Zlonamjerni softver LabRat provodi radnje kripto i proxyjackinga

Analiza zlonamjernog softvera LabRat pokazuje da je prijetnja relativno tipičan primjer alata za kripto i proxy jacking. U kampanji kriptovalute, napadači koriste žrtvino računalo potajno za rudarenje kriptovalute, stvarajući profit iskorištavanjem resursa žrtve. S druge strane, proxy jacking kampanja uključuje tiho uključivanje žrtvinog računala u peer-to-peer mrežu za dijeljenje propusnosti, što koristi napadaču širenjem njegovih resursa.

Metoda napada oslanja se na prepoznatu ranjivost unutar GitLab poslužitelja (CVE-2021-2205), iskorištavajući je za postizanje daljinskog izvršenja koda i uvođenje zlonamjernog softvera na kompromitirano računalo.

Međutim, ono što razlikuje ovu konkretnu kampanju napada je značajna predanost koju su kreatori zlonamjernog softvera pokazali u skrivanju svog koda. Nadalje, usvajanje usluge TryCloudFlare za usmjeravanje prometa dodaje dodatni sloj, učinkovito maskirajući identitete napadača od sustava koje su kompromitirali.

Operacija LabRat Attack pokazuje značajan fokus na Stealth

Zlonamjerni softver LabRat ojačan je robusnom enkripcijom i sofisticiranim tehnikama protiv obrnutog inženjeringa, što njegovo otkrivanje čini iznimno zahtjevnim zadatkom. Postojane binarne datoteke, kodirane u Go-u, pokazale su izvanrednu sposobnost da ostanu neprimijećene, kao i komponente kripto rudara korištene u napadu.

Istraživači su primijetili da je grupa LabRat pokazala iznimnu razinu predanosti u svojim nastojanjima da prikriju kod, dopuštajući prijetećem teretu da tajno djeluje. Doista, čini se da akteri prijetnji koji stoje iza ove kampanje veći naglasak stavljaju na održavanje skrivenosti u usporedbi s mnogim drugima, budući da prepoznaju da vrijeme izravno odgovara povećanoj financijskoj dobiti. Što dulje mogu održati svoj pristup dok koriste proxy jacking i softver za kriptomarenje, veći su im novčani povrati.

Važnost ostajanja nezapaženog posebno je značajna u kontekstu proxy jackinga, gdje je učinkovitost mreže koja se ne može pripisati izravno povezana s brojem čvorova unutar nje. Ako se broj čvorova smanji, usluga postaje osjetljiva na blokiranje ili jednostavno postaje neučinkovita.