มัลแวร์ LabRat
แพ็คเกจมัลแวร์ร้ายกาจที่ตรวจพบได้ยากเป็นพิเศษทำให้เกิดข้อกังวลเนื่องจากความสามารถที่ชัดเจนในการหลีกเลี่ยงมาตรการป้องกันและโปรโตคอลความปลอดภัยมากมาย การวิจัยเชิงลึกที่ดำเนินการโดยผู้เชี่ยวชาญได้เปิดเผยมัลแวร์ LabRat ซึ่งแสดงให้เห็นถึงความซับซ้อนในระดับที่น่าทึ่งในกลยุทธ์ในการซ่อนและดำเนินการโดยไม่ถูกตรวจจับ
แตกต่างจากการโจมตีทางไซเบอร์ที่คล้ายกันส่วนใหญ่ที่ให้ความสำคัญกับความเร็วมากกว่าความละเอียดอ่อน การใช้งานมัลแวร์ LabRat แสดงให้เห็นถึงความซับซ้อนในระดับสูง ผู้คุกคามรายนี้ได้ออกแบบการดำเนินการอย่างพิถีพิถันโดยให้ความสำคัญกับการลักลอบเป็นพิเศษ ซึ่งเป็นปัจจัยที่ผู้โจมตีจำนวนมากมักละเลย ความพยายามอย่างมีสติเหล่านี้ในส่วนของผู้กระทำภัยคุกคามนั้นพร้อมที่จะเพิ่มความท้าทายที่ผู้ปกป้องต้องเผชิญในการระบุและตอบโต้ภัยคุกคามนี้
มัลแวร์ LabRat ดำเนินการ Crypto และ Proxyjacking
การวิเคราะห์มัลแวร์ LabRat แสดงให้เห็นว่าภัยคุกคามนั้นเป็นตัวอย่างที่ค่อนข้างปกติของเครื่องมือเข้ารหัสลับและเข้ารหัสพร็อกซี ในแคมเปญ cryptojacking ผู้โจมตีใช้คอมพิวเตอร์ของเหยื่ออย่างซ่อนเร้นเพื่อขุด cryptocurrency สร้างผลกำไรโดยใช้ประโยชน์จากทรัพยากรของเหยื่อ ในทางกลับกัน แคมเปญพร็อกซีแจ็คกิ้งเกี่ยวข้องกับการชักชวนคอมพิวเตอร์ของเหยื่อเข้าสู่เครือข่ายแบ่งปันแบนด์วิธแบบเพียร์ทูเพียร์อย่างเงียบๆ ซึ่งเป็นประโยชน์ต่อผู้โจมตีด้วยการขยายทรัพยากรของพวกเขา
วิธีการโจมตีอาศัยช่องโหว่ที่ได้รับการยอมรับภายในเซิร์ฟเวอร์ GitLab (CVE-2021-2205) โดยใช้ประโยชน์จากช่องโหว่ดังกล่าวเพื่อให้เกิดการเรียกใช้โค้ดจากระยะไกล และแนะนำเพย์โหลดของมัลแวร์ไปยังเครื่องที่ถูกบุกรุก
สิ่งที่ทำให้แคมเปญการโจมตีนี้แตกต่างออกไปก็คือความทุ่มเทที่โดดเด่นของผู้สร้างมัลแวร์ในการปกปิดโค้ดของพวกเขา นอกจากนี้ การนำบริการ TryCloudFlare มาใช้เพื่อกำหนดเส้นทางการรับส่งข้อมูลจะเพิ่มชั้นพิเศษ ซึ่งปกปิดข้อมูลระบุตัวตนของผู้โจมตีจากระบบที่พวกเขาบุกรุกได้อย่างมีประสิทธิภาพ
ปฏิบัติการโจมตี LabRat แสดงให้เห็นถึงการมุ่งเน้นที่สำคัญต่อการลักลอบ
มัลแวร์ LabRat ได้รับการเสริมความแข็งแกร่งด้วยการเข้ารหัสที่แข็งแกร่งและเทคนิคทางวิศวกรรมป้องกันการย้อนกลับที่ซับซ้อน ทำให้การตรวจจับเป็นงานที่ท้าทายอย่างยิ่ง ไบนารีถาวรที่ถูกเข้ารหัสใน Go แสดงให้เห็นถึงความสามารถที่น่าทึ่งในการไม่มีใครสังเกตเห็น เช่นเดียวกับส่วนประกอบของนักขุด crypto ที่ใช้ในการโจมตี
นักวิจัยตั้งข้อสังเกตว่ากลุ่ม LabRat ได้แสดงความมุ่งมั่นในระดับพิเศษในความพยายามที่จะปิดบังโค้ด ปล่อยให้เพย์โหลดที่เป็นอันตรายทำงานอย่างซ่อนเร้น แท้จริงแล้ว ผู้คุกคามที่อยู่เบื้องหลังแคมเปญนี้ดูเหมือนจะให้ความสำคัญกับการรักษาการลักลอบมากกว่าเมื่อเทียบกับคนอื่นๆ เพราะพวกเขาตระหนักดีว่าเวลานั้นสอดคล้องโดยตรงกับผลกำไรทางการเงินที่เพิ่มขึ้น ยิ่งพวกเขาสามารถรักษาการเข้าถึงไว้ได้นานขึ้นในขณะที่ใช้งานพร็อกซีแจ็คและซอฟต์แวร์การขุด crypto ผลตอบแทนทางการเงินก็จะยิ่งมากขึ้นเท่านั้น
ความสำคัญของการที่ไม่มีใครสังเกตเห็นมีความสำคัญอย่างยิ่งในบริบทของการแจ็คพร็อกซี ซึ่งประสิทธิภาพของเครือข่ายที่ไม่สามารถระบุแหล่งที่มาได้จะเชื่อมโยงโดยตรงกับจำนวนโหนดที่อยู่ภายใน หากจำนวนโหนดลดลง บริการจะเสี่ยงต่อการถูกบล็อกหรือกลายเป็นไม่มีประสิทธิภาพ
