Malvér LabRat

Zákerný malvérový balík, ktorý je mimoriadne ťažké odhaliť, vyvolal obavy z dôvodu jeho zjavnej schopnosti obísť početné obranné opatrenia a bezpečnostné protokoly. Hĺbkový výskum vykonaný odborníkmi odhalil malvér LabRat, ktorý vykazuje pozoruhodnú úroveň sofistikovanosti vo svojich stratégiách, aby zostal skrytý a funkčný bez toho, aby bol odhalený.

Na rozdiel od väčšiny podobných kybernetických útokov, ktoré uprednostňujú rýchlosť pred jemnosťou, nasadenie malvéru LabRat demonštruje vysoký stupeň sofistikovanosti. Tento aktér hrozieb precízne navrhol ich fungovanie s osobitným dôrazom na utajenie, čo je faktor, ktorý mnohí útočníci zvyknú zanedbávať. Toto svedomité úsilie zo strany aktéra hrozby je pripravené výrazne zvýšiť výzvy, ktorým čelia obrancovia pri identifikácii a boji proti tejto hrozbe.

Malvér LabRat vykonáva akcie krypto a proxyjacking

Analýza malvéru LabRat ukazuje, že hrozba je relatívne typickým prípadom kryptojackingu a nástroja proxy jacking. V kampani cryptojacking útočníci skryte využívajú počítač obete na ťažbu kryptomeny, čím generujú zisky využívaním zdrojov obete. Na druhej strane, proxy-jacking kampaň zahŕňa tiché zapojenie počítača obete do siete na zdieľanie šírky pásma typu peer-to-peer, z čoho má útočník prospech tým, že rozširuje svoje zdroje.

Metóda útoku sa opiera o rozpoznanú zraniteľnosť serverov GitLab (CVE-2021-2205), ktorá ju využíva na dosiahnutie vzdialeného spustenia kódu a na zavedenie škodlivého softvéru do napadnutého počítača.

Čo však odlišuje túto konkrétnu útočnú kampaň, je pozoruhodná oddanosť, ktorú prejavili tvorcovia malvéru pri skrývaní svojho kódu. Okrem toho prijatie služby TryCloudFlare na smerovanie prevádzky pridáva ďalšiu vrstvu, ktorá účinne maskuje identity útočníkov pred systémami, ktoré kompromitovali.

Operácia LabRat Attack ukazuje významné zameranie na utajenie

Malvér LabRat je posilnený robustným šifrovaním a sofistikovanými technikami reverzného inžinierstva, vďaka čomu je jeho detekcia mimoriadne náročná úloha. Perzistentné binárne súbory, kódované v Go, vykazovali pozoruhodnú schopnosť zostať nepovšimnuté, rovnako ako komponenty kryptomeny použité pri útoku.

Výskumníci zistili, že skupina LabRat preukázala výnimočnú úroveň odhodlania vo svojom úsilí zakryť kód, čo umožnilo skrytú prevádzku hroziaceho užitočného zaťaženia. V skutočnosti sa zdá, že aktéri hrozieb stojaci za touto kampaňou kladú väčší dôraz na udržanie utajenia v porovnaní s mnohými inými, pretože uznávajú, že čas priamo zodpovedá zvýšenému finančnému zisku. Čím dlhšie dokážu udržať svoj prístup pri spustení proxy jackingu a šifrovacieho softvéru, tým väčšie sú ich peňažné výnosy.

Dôležitosť zostať nepovšimnutá je obzvlášť významná v kontexte proxy jackingu, kde je účinnosť nepripísateľnej siete priamo spojená s počtom uzlov v nej. Ak sa počet uzlov zníži, služba sa stane zraniteľnou voči zablokovaniu alebo sa jednoducho stane neúčinnou.