LabRat 악성코드

유난히 탐지하기 어려운 교활한 맬웨어 패키지는 수많은 방어 수단과 보안 프로토콜을 우회할 수 있는 능력이 명백하기 때문에 우려를 불러일으켰습니다. 전문가들이 실시한 심층 연구에서 LabRat 악성 코드가 공개되었습니다. 이 악성 코드는 탐지되지 않고 숨겨진 상태로 작동하는 전략이 놀랄 만큼 정교함을 보여줍니다.

미묘함보다 속도를 우선시하는 대부분의 유사한 사이버 공격과 달리 LabRat 악성 코드의 배포는 높은 수준의 정교함을 보여줍니다. 이 위협 행위자는 많은 공격자가 간과하는 경향이 있는 요소인 스텔스에 특히 주의하여 작전을 세심하게 설계했습니다. 위협 행위자의 이러한 성실한 노력은 방어자가 이 위협을 식별하고 대응하는 데 직면하는 어려움을 크게 증가시킬 준비가 되어 있습니다.

LabRat 악성 코드는 암호화 및 프록시재킹 작업을 수행합니다.

LabRat 악성 코드를 분석한 결과 위협은 크립토재킹 및 프록시 재킹 도구의 비교적 일반적인 사례인 것으로 나타났습니다. 크립토재킹 캠페인에서 공격자는 피해자의 컴퓨터를 은밀하게 활용하여 암호화폐를 채굴하고 피해자의 자원을 이용하여 수익을 창출합니다. 반면, 프록시 재킹 캠페인에는 피해자의 컴퓨터를 P2P 대역폭 공유 네트워크에 조용히 참여시키는 것이 포함되며, 이는 리소스를 확장하여 공격자에게 이익을 줍니다.

공격 방법은 GitLab 서버(CVE-2021-2205) 내에서 인식된 취약점을 활용하여 이를 악용하여 원격 코드를 실행하고 손상된 시스템에 악성 코드 페이로드를 도입합니다.

그러나 이 특정 공격 캠페인을 구별하는 것은 악성 코드 제작자가 자신의 코드를 숨기는 데 보여준 주목할 만한 헌신입니다. 또한 트래픽을 라우팅하기 위해 TryCloudFlare 서비스를 채택하면 추가 계층이 추가되어 공격자가 손상된 시스템에서 공격자의 신원을 효과적으로 마스킹할 수 있습니다.

LabRat 공격 작전은 스텔스에 상당한 초점을 맞추고 있음을 보여줍니다.

LabRat 악성코드는 강력한 암호화와 정교한 역엔지니어링 기술로 강화되어 탐지가 매우 까다롭습니다. Go로 코딩된 지속성 바이너리는 공격에 사용된 암호화폐 채굴기 구성 요소와 마찬가지로 눈에 띄지 않게 유지되는 놀라운 능력을 보여주었습니다.

연구원들은 LabRat 그룹이 코드를 모호하게 하여 위협적인 페이로드가 은밀하게 작동할 수 있도록 하려는 노력에서 예외적인 수준의 헌신을 보여주었다는 사실을 관찰했습니다. 실제로 이 캠페인의 배후에 있는 위협 행위자들은 시간이 금전적 이득 증가와 직접적으로 연관된다는 점을 인식하고 있기 때문에 다른 많은 캠페인에 비해 스텔스 유지에 더 중점을 두는 것으로 보입니다. 프록시 재킹 및 암호화폐 채굴 소프트웨어를 실행하는 동안 액세스를 더 오래 유지할 수 있을수록 금전적 수익도 더 커집니다.

눈에 띄지 않는 것의 중요성은 프록시 재킹의 맥락에서 특히 중요합니다. 프록시 재킹에서는 기여할 수 없는 네트워크의 효율성이 네트워크 내의 노드 수와 직접적으로 연결됩니다. 노드 수가 줄어들면 서비스가 차단되거나 단순히 무효화될 위험이 있습니다.