Malware LabRat

Un pachet de malware insidios, care este excepțional de greu de detectat, a declanșat îngrijorări datorită capacității sale aparente de a ocoli numeroase măsuri defensive și protocoale de securitate. Cercetările aprofundate efectuate de experți au dezvăluit malware-ul LabRat, care prezintă un nivel remarcabil de sofisticare în strategiile sale de a rămâne ascuns și operațional fără a fi detectat.

Spre deosebire de majoritatea atacurilor cibernetice similare care acordă prioritate vitezei în detrimentul subtilității, implementarea malware-ului LabRat demonstrează un grad ridicat de sofisticare. Acest actor de amenințări și-a proiectat meticulos operațiunea, acordând o atenție deosebită stealth-ului, un factor pe care mulți atacatori tind să-l neglijeze. Aceste eforturi conștiincioase din partea actorului amenințării sunt gata să sporească în mod semnificativ provocările cu care se confruntă apărătorii în identificarea și contracararea acestei amenințări.

Programul malware LabRat Efectuează acțiuni de criptare și proxyjacking

Analiza malware-ului LabRat arată că amenințarea este o instanță relativ tipică a unui instrument de criptojacking și proxy jacking. Într-o campanie de criptojacking, atacatorii folosesc computerul victimei în mod ascuns pentru a extrage criptomonede, generând profituri prin exploatarea resurselor victimei. Pe de altă parte, o campanie de proxy-jacking implică înrolarea în liniște a computerului victimei într-o rețea de partajare a lățimii de bandă peer-to-peer, care aduce beneficii atacatorului prin extinderea resurselor.

Metoda de atac se bazează pe o vulnerabilitate recunoscută în serverele GitLab (CVE-2021-2205), exploatând-o pentru a realiza execuția de cod de la distanță și pentru a introduce încărcătura utilă de malware pe mașina compromisă.

Totuși, ceea ce distinge această campanie specială de atac este dedicarea notabilă manifestată de creatorii de malware în ascunderea codului lor. În plus, adoptarea serviciului TryCloudFlare pentru a ruta traficul adaugă un strat suplimentar, maschând efectiv identitățile atacatorilor de sistemele pe care le-au compromis.

Operațiunea de atac LabRat arată un accent semnificativ pe stealth

Malware-ul LabRat este îmbogățit cu criptare robustă și tehnici sofisticate de inginerie inversă, făcând detectarea acestuia o sarcină extrem de dificilă. Binarele de persistență, codificate în Go, au prezentat o abilitate remarcabilă de a rămâne neobservate, la fel ca și componentele cripto-minerilor folosite de atac.

Cercetătorii au observat că grupul LabRat a dat dovadă de un nivel excepțional de angajament în eforturile lor de a ascunde codul, permițând încărcăturii utile amenințătoare să funcționeze pe ascuns. Într-adevăr, actorii amenințărilor din spatele acestei campanii par să pună un accent mai mare pe menținerea stealth-ului în comparație cu multe altele, deoarece recunosc că timpul corespunde direct unui câștig financiar sporit. Cu cât își pot menține accesul mai mult timp în timp ce rulează software-ul proxy jacking și cryptomining, cu atât randamentul lor monetar este mai mare.

Importanța rămânerii neobservate este deosebit de semnificativă în contextul proxy jacking-ului, unde eficacitatea unei rețele neatribuibile este direct legată de numărul de noduri din cadrul acesteia. În cazul în care numărul de noduri scade, serviciul devine vulnerabil la blocare sau pur și simplu să devină ineficient.