Zlonamerna programska oprema LabRat
Zahrbten paket zlonamerne programske opreme, ki ga je izjemno težko odkriti, je sprožil zaskrbljenost zaradi svoje očitne zmožnosti, da obide številne obrambne ukrepe in varnostne protokole. Poglobljena raziskava, ki so jo izvedli strokovnjaki, je razkrila zlonamerno programsko opremo LabRat, ki izkazuje izjemno raven prefinjenosti svojih strategij, da ostanejo skrite in delujejo, ne da bi jih odkrili.
Za razliko od večine podobnih kibernetskih napadov, ki dajejo prednost hitrosti pred subtilnostjo, uvedba zlonamerne programske opreme LabRat kaže visoko stopnjo prefinjenosti. Ta akter grožnje je natančno zasnoval svoje delovanje s posebnim poudarkom na prikritosti, dejavniku, ki ga mnogi napadalci ponavadi zanemarjajo. Ta vestna prizadevanja akterja grožnje so pripravljena znatno povečati izzive, s katerimi se soočajo zagovorniki pri prepoznavanju te grožnje in zoper njo.
Zlonamerna programska oprema LabRat izvaja dejanja kripto in proxyjackinga
Analiza zlonamerne programske opreme LabRat kaže, da je grožnja razmeroma tipičen primer orodja za vdiranje v kriptovalute in proxy. V kampanji kriptovalute napadalci prikrito uporabljajo žrtvin računalnik za rudarjenje kriptovalute in ustvarjajo dobiček z izkoriščanjem virov žrtve. Po drugi strani pa kampanja vdiranja proxyja vključuje tiho vključitev žrtvinega računalnika v omrežje enakovrednih enakovrednih za deljenje pasovne širine, kar koristi napadalcu, saj razširi svoje vire.
Metoda napada se opira na prepoznano ranljivost v strežnikih GitLab (CVE-2021-2205), ki jo izkorišča za doseganje oddaljenega izvajanja kode in vnos škodljive programske opreme v ogroženi stroj.
Kar pa razlikuje to posebno napadalno kampanjo, je opazna predanost, ki so jo pokazali ustvarjalci zlonamerne programske opreme pri skrivanju svoje kode. Poleg tega prevzem storitve TryCloudFlare za usmerjanje prometa doda dodatno plast, ki učinkovito prikrije identiteto napadalcev pred sistemi, ki so jih ogrozili.
Operacija LabRat Attack kaže velik poudarek na nevidnosti
Zlonamerna programska oprema LabRat je obogatena z robustnim šifriranjem in prefinjenimi tehnikami proti povratnemu inženiringu, zaradi česar je njeno odkrivanje izjemno zahtevna naloga. Vztrajnostne binarne datoteke, kodirane v Go, so pokazale izjemno sposobnost, da ostanejo neopažene, tako kot komponente kripto-rudarja, uporabljene v napadu.
Raziskovalci so opazili, da je skupina LabRat pokazala izjemno stopnjo predanosti pri svojih prizadevanjih, da bi prikrila kodo, kar je omogočilo prikrito delovanje grozečega tovora. Dejansko se zdi, da akterji groženj, ki stojijo za to kampanjo, dajejo večji poudarek ohranjanju prikritosti v primerjavi z mnogimi drugimi, saj priznavajo, da čas neposredno ustreza povečanemu finančnemu dobičku. Dlje kot lahko vzdržujejo svoj dostop med izvajanjem programske opreme za vkrcanje posrednikov in kripto rudarjenje, večji so njihovi denarni donosi.
Pomen ostati neopažen je še posebej pomemben v kontekstu proxy jackinga, kjer je učinkovitost omrežja, ki ga ni mogoče pripisati, neposredno povezana s številom vozlišč v njem. Če se število vozlišč zmanjša, postane storitev ranljiva za blokiranje ali preprosto postane neučinkovita.
