LabRat kenkėjiška programa

Klastingas kenkėjiškų programų paketas, kurį ypač sunku aptikti, sukėlė susirūpinimą dėl akivaizdaus gebėjimo apeiti daugybę gynybinių priemonių ir saugos protokolų. Nuodugniai ekspertų atlikti tyrimai atskleidė „LabRat“ kenkėjišką programinę įrangą, kurios strategijos yra labai sudėtingos, kad liktų paslėptos ir veiktų neaptinkamos.

Skirtingai nuo daugelio panašių kibernetinių atakų, kuriose pirmenybė teikiama greičiui, o ne subtilumui, LabRat kenkėjiškos programinės įrangos diegimas yra labai sudėtingas. Šis grėsmių veikėjas kruopščiai suplanavo savo veiklą, ypatingą dėmesį skirdamas slaptumui – veiksniui, kurio daugelis užpuolikų linkę nepaisyti. Šios sąžiningos grėsmės veikėjo pastangos gali žymiai padidinti iššūkius, su kuriais susiduria gynėjai nustatydami šią grėsmę ir kovojant su ja.

„LabRat“ kenkėjiška programa atlieka šifravimo ir tarpinio serverio įsilaužimo veiksmus

„LabRat“ kenkėjiškos programos analizė rodo, kad grėsmė yra gana tipiškas šifravimo ir tarpinio serverio pakėlimo įrankio pavyzdys. Vykdydami kriptovaliutų keitimo kampaniją, užpuolikai slapta naudoja aukos kompiuterį, kad išgautų kriptovaliutą, gaudami pelną išnaudodami aukos išteklius. Kita vertus, tarpinio serverio užgrobimo kampanija apima tylų aukos kompiuterio įtraukimą į lygiavertį pralaidumo dalijimosi tinklą, o tai naudinga užpuolikui, nes plečia savo išteklius.

Atakos metodas priklauso nuo pripažinto pažeidžiamumo „GitLab“ serveriuose (CVE-2021-2205), išnaudojant jį nuotoliniam kodo vykdymui ir kenkėjiškų programų naudingumui įnešti į pažeistą mašiną.

Tačiau tai, kas išskiria šią konkrečią atakų kampaniją, yra didžiulis kenkėjiškų programų kūrėjų atsidavimas slepiant savo kodą. Be to, naudojant „TryCloudFlare“ paslaugą srautui nukreipti, pridedamas papildomas sluoksnis, veiksmingai užmaskuojantis užpuolikų tapatybes sistemose, kurioms jie pakenkė.

„LabRat Attack“ operacija rodo didelį dėmesį slaptumui

„LabRat“ kenkėjiška programa yra sustiprinta patikimu šifravimu ir sudėtingomis anti-reverse inžinerijos technikomis, todėl jos aptikimas yra nepaprastai sudėtinga užduotis. Atkaklumo dvejetainiai failai, užkoduoti programoje Go, pasižymėjo nepaprastu gebėjimu likti nepastebėti, kaip ir atakos metu naudojami kriptovaliutų kasybos komponentai.

Tyrėjai pastebėjo, kad „LabRat“ grupė demonstravo išskirtinį įsipareigojimą, stengdamasi užmaskuoti kodą, todėl grėsmingas krovinys galėjo veikti slaptai. Iš tiesų, šios kampanijos grėsmės veikėjai, palyginti su daugeliu kitų, labiau akcentuoja slaptumą, nes pripažįsta, kad laikas tiesiogiai priklauso nuo padidėjusios finansinės naudos. Kuo ilgiau jie gali išlaikyti prieigą paleisdami tarpinio serverio pakeitimo ir šifravimo programinę įrangą, tuo didesnė jų piniginė grąža.

Likti nepastebėtam svarba yra ypač svarbi tarpinio serverio prijungimo kontekste, kai nepriskiriamo tinklo efektyvumas yra tiesiogiai susijęs su jame esančių mazgų skaičiumi. Jei mazgų skaičius sumažėtų, paslauga gali būti užblokuota arba tiesiog neveiksminga.