Вредоносное ПО LabRat

Коварный пакет вредоносных программ, который чрезвычайно сложно обнаружить, вызвал обеспокоенность из-за его очевидной способности обходить многочисленные защитные меры и протоколы безопасности. Углубленное исследование, проведенное экспертами, выявило вредоносное ПО LabRat, которое демонстрирует поразительный уровень сложности в своих стратегиях, позволяющих оставаться скрытым и работоспособным, не будучи обнаруженным.

В отличие от большинства подобных кибератак, в которых скорость важнее скрытности, внедрение вредоносного ПО LabRat демонстрирует высокую степень сложности. Этот злоумышленник тщательно разработал свою операцию, уделяя особое внимание скрытности — фактору, которым многие злоумышленники склонны пренебрегать. Эти сознательные усилия со стороны субъекта угрозы могут значительно усугубить проблемы, с которыми сталкиваются правозащитники при выявлении этой угрозы и противодействии ей.

Вредоносная программа LabRat осуществляет криптографические и проксиджекинговые действия

Анализ вредоносного ПО LabRat показывает, что угроза представляет собой относительно типичный пример инструмента криптоджекинга и взлома прокси. В ходе кампании криптоджекинга злоумышленники тайно используют компьютер жертвы для майнинга криптовалюты, получая прибыль за счет использования ресурсов жертвы. С другой стороны, кампания по прокси-джекингу предполагает незаметное подключение компьютера жертвы к одноранговой сети с разделением полосы пропускания, что приносит злоумышленнику выгоду, расширяя его ресурсы.

Метод атаки основан на признанной уязвимости серверов GitLab (CVE-2021-2205), которая используется для удаленного выполнения кода и внедрения вредоносной нагрузки на скомпрометированную машину.

Однако что отличает эту конкретную кампанию атаки, так это заметное стремление создателей вредоносного ПО скрыть свой код. Кроме того, использование сервиса TryCloudFlare для маршрутизации трафика добавляет дополнительный уровень, эффективно маскируя личности злоумышленников от систем, которые они скомпрометировали.

Операция по нападению LabRat демонстрирует значительное внимание к скрытности

Вредоносная программа LabRat усилена надежным шифрованием и сложными методами защиты от обратного проектирования, что делает ее обнаружение чрезвычайно сложной задачей. Двоичные файлы персистентности, написанные на Go, продемонстрировали замечательную способность оставаться незамеченными, как и компоненты криптомайнинга, использованные при атаке.

Исследователи отметили, что группа LabRat продемонстрировала исключительный уровень преданности делу в своих усилиях по сокрытию кода, позволяющему угрожающей полезной нагрузке действовать скрытно. Действительно, участники этой кампании, похоже, уделяют больше внимания сохранению скрытности по сравнению со многими другими, поскольку они понимают, что время напрямую соответствует увеличению финансовой выгоды. Чем дольше они смогут поддерживать свой доступ, используя программное обеспечение для взлома прокси и майнинга криптовалют, тем больше их денежная прибыль.

Важность оставаться незамеченным особенно важна в контексте взлома прокси-серверов, где эффективность сети, которую невозможно присвоить, напрямую связана с количеством узлов в ней. Если количество узлов сокращается, служба становится уязвимой для блокировки или просто становится неэффективной.