LabRat skadelig programvare

En lumsk skadevarepakke som er usedvanlig vanskelig å oppdage har utløst bekymringer på grunn av dens tilsynelatende evne til å omgå en rekke defensive tiltak og sikkerhetsprotokoller. Dybdeundersøkelse utført av eksperter har avslørt LabRat malware, som viser et bemerkelsesverdig nivå av sofistikering i sine strategier for å forbli skjult og operativ uten å bli oppdaget.

I motsetning til de fleste lignende cyberangrep som prioriterer hastighet fremfor subtilitet, demonstrerer utplasseringen av LabRat malware en høy grad av sofistikering. Denne trusselaktøren har omhyggelig utformet operasjonen med spesiell oppmerksomhet på stealth, en faktor som mange angripere har en tendens til å overse. Denne samvittighetsfulle innsatsen fra trusselaktørens side er klar til å øke utfordringene som forsvarere står overfor i å identifisere og motvirke denne trusselen betydelig.

LabRat Malware utfører krypto- og proxyjacking-handlinger

Analyse av LabRat malware viser at trusselen er en relativt typisk forekomst av et kryptojacking og proxy jacking-verktøy. I en kryptojacking-kampanje bruker angriperne offerets datamaskin skjult for å utvinne kryptovaluta, og genererer fortjeneste ved å utnytte ressursene til offeret. På den annen side innebærer en proxy-jacking-kampanje å stille offerets datamaskin inn i et peer-to-peer båndbreddedelingsnettverk, noe som gagner angriperen ved å utvide ressursene sine.

Angrepsmetoden er avhengig av en anerkjent sårbarhet i GitLab-servere (CVE-2021-2205), som utnytter den for å oppnå ekstern kjøring av kode og introdusere skadevarenyttelasten på den kompromitterte maskinen.

Det som imidlertid kjennetegner denne spesielle angrepskampanjen, er den bemerkelsesverdige engasjementet som skaperne av skadevare har vist til å skjule koden deres. Videre legger innføringen av TryCloudFlare-tjenesten for å rute trafikken et ekstra lag, som effektivt maskerer angripernes identiteter fra systemene de har kompromittert.

LabRat-angrepsoperasjonen viser betydelig fokus på stealth

LabRat malware er forsterket med robust kryptering og sofistikerte anti-revers engineering-teknikker, noe som gjør deteksjonen til en svært utfordrende oppgave. Utholdenhetsbinærfilene, kodet i Go, viste en bemerkelsesverdig evne til å forbli ubemerket, det samme gjorde kryptominer-komponentene som ble brukt av angrepet.

Forskere observerte at LabRat-gruppen hadde utvist et eksepsjonelt nivå av engasjement i deres bestrebelser på å skjule koden, slik at den truende nyttelasten kunne operere i det skjulte. Trusselaktørene bak denne kampanjen ser faktisk ut til å legge større vekt på å opprettholde stealth sammenlignet med mange andre, da de erkjenner at tid direkte tilsvarer økt økonomisk gevinst. Jo lenger de kan opprettholde tilgangen mens de kjører proxy-jacking og kryptomining-programvaren, desto større er deres pengeavkastning.

Viktigheten av å forbli ubemerket er spesielt viktig i sammenheng med proxy-jacking, hvor effektiviteten til et ikke-tilskrivbart nettverk er direkte knyttet til antall noder i det. Skulle nodeantallet synke, blir tjenesten sårbar for å bli blokkert eller rett og slett bli ineffektiv.