Złośliwe oprogramowanie LabRat

Podstępny pakiet złośliwego oprogramowania, który jest wyjątkowo trudny do wykrycia, wzbudził obawy ze względu na jego widoczną zdolność do omijania licznych środków obronnych i protokołów bezpieczeństwa. Dogłębne badania przeprowadzone przez ekspertów ujawniły szkodliwe oprogramowanie LabRat, które wykazuje niezwykły poziom wyrafinowania w swoich strategiach pozwalających pozostać ukrytym i operacyjnym bez wykrycia.

W przeciwieństwie do większości podobnych cyberataków, w których priorytetem jest szybkość, a nie subtelność, wdrożenie szkodliwego oprogramowania LabRat charakteryzuje się wysokim stopniem wyrafinowania. Ten ugrupowanie zagrażające skrupulatnie zaprojektowało swoje działanie, ze szczególnym uwzględnieniem ukrywania się, czyli czynnika, który wielu atakujących ma tendencję do zaniedbywania. Te świadome wysiłki ze strony podmiotu stwarzającego zagrożenie mogą znacząco zwiększyć wyzwania stojące przed obrońcami w zakresie identyfikowania tego zagrożenia i przeciwdziałania mu.

Złośliwe oprogramowanie LabRat przeprowadza akcje kryptograficzne i proxy

Analiza złośliwego oprogramowania LabRat pokazuje, że zagrożeniem jest stosunkowo typowy przykład narzędzia do cryptojackingu i proxy jacking. W kampanii cryptojackingu napastnicy potajemnie wykorzystują komputer ofiary do wydobywania kryptowaluty, generując zyski poprzez wykorzystanie zasobów ofiary. Z drugiej strony kampania przechwytywania proxy polega na cichym włączeniu komputera ofiary do sieci współdzielącej przepustowość, co zapewnia atakującemu korzyści w postaci rozszerzenia jego zasobów.

Metoda ataku opiera się na rozpoznanej luce w serwerach GitLab (CVE-2021-2205), która wykorzystuje ją w celu zdalnego wykonania kodu i wprowadzenia szkodliwego oprogramowania na zaatakowaną maszynę.

Tym, co wyróżnia tę konkretną kampanię ataków, jest jednak godne uwagi zaangażowanie twórców szkodliwego oprogramowania w ukrywanie swojego kodu. Co więcej, przyjęcie usługi TryCloudFlare do kierowania ruchu stanowi dodatkową warstwę, skutecznie maskującą tożsamość atakujących przed zhakowanymi systemami.

Operacja ataku LabRat kładzie duży nacisk na ukrywanie się

Szkodnik LabRat jest wzmocniony solidnym szyfrowaniem i wyrafinowanymi technikami inżynierii wstecznej, co sprawia, że jego wykrycie jest niezwykle trudnym zadaniem. Pliki binarne trwałości zakodowane w Go wykazały niezwykłą zdolność pozostania niezauważonym, podobnie jak komponenty do kopania kryptowalut wykorzystane w ataku.

Badacze zaobserwowali, że grupa LabRat wykazała się wyjątkowym poziomem zaangażowania w swoich wysiłkach mających na celu ukrycie kodu, umożliwiając tajne działanie groźnego ładunku. Rzeczywiście wydaje się, że ugrupowania zagrażające stojące za tą kampanią kładą większy nacisk na utrzymywanie ukrycia w porównaniu z wieloma innymi, ponieważ zdają sobie sprawę, że czas bezpośrednio przekłada się na zwiększone zyski finansowe. Im dłużej mogą utrzymać dostęp podczas uruchamiania oprogramowania proxy do przechwytywania i kopania kryptowalut, tym większe są ich zwroty pieniężne.

Znaczenie pozostania niezauważonym jest szczególnie istotne w kontekście proxy jacking, gdzie efektywność sieci, której nie można przypisać, jest bezpośrednio powiązana z liczbą znajdujących się w niej węzłów. Jeśli liczba węzłów spadnie, usługa stanie się podatna na zablokowanie lub po prostu stanie się nieskuteczna.