LabRat Malware
Ang isang mapanlinlang na pakete ng malware na napakahirap matukoy ay nag-trigger ng mga alalahanin dahil sa maliwanag na kakayahan nitong i-bypass ang maraming mga hakbang sa pagtatanggol at mga protocol ng seguridad. Inihayag ng malalim na pananaliksik na isinagawa ng mga eksperto ang LabRat malware, na nagpapakita ng kahanga-hangang antas ng pagiging sopistikado sa mga diskarte nito upang manatiling nakatago at gumagana nang hindi natukoy.
Hindi tulad ng karamihan sa mga katulad na pag-atake sa cyber na inuuna ang bilis kaysa sa subtlety, ang deployment ng LabRat malware ay nagpapakita ng mataas na antas ng pagiging sopistikado. Ang banta ng aktor na ito ay maingat na idinisenyo ang kanilang operasyon na may partikular na atensyon sa pagnanakaw, isang kadahilanan na madalas na napapabayaan ng maraming umaatake. Ang matapat na pagsisikap na ito sa bahagi ng aktor ng pagbabanta ay nakahanda upang makabuluhang taasan ang mga hamon na kinakaharap ng mga tagapagtanggol sa pagtukoy at pagkontra sa banta na ito.
Ang LabRat Malware ay nagsasagawa ng Crypto at Proxyjacking Actions
Ang pagsusuri sa LabRat malware ay nagpapakita ng banta na isang medyo karaniwang instance ng isang cryptojacking at proxy jacking tool. Sa isang kampanyang cryptojacking, ginagamit ng mga umaatake ang computer ng biktima nang patago upang minahan ng cryptocurrency, na nakakakuha ng kita sa pamamagitan ng pagsasamantala sa mga mapagkukunan ng biktima. Sa kabilang banda, ang isang proxy-jacking campaign ay nagsasangkot ng tahimik na pagpapalista sa computer ng biktima sa isang peer-to-peer bandwidth-sharing network, na nakikinabang sa umaatake sa pamamagitan ng pagpapalawak ng kanilang mga mapagkukunan.
Ang paraan ng pag-atake ay umaasa sa isang kinikilalang kahinaan sa loob ng mga server ng GitLab (CVE-2021-2205), na sinasamantala ito upang makamit ang remote code execution at ipasok ang malware payload sa nakompromisong machine.
Gayunpaman, ang naiiba sa partikular na kampanyang pag-atake na ito ay ang kapansin-pansing dedikasyon na ipinakita ng mga gumagawa ng malware sa pagtatago ng kanilang code. Higit pa rito, ang paggamit ng TryCloudFlare na serbisyo upang iruta ang trapiko ay nagdaragdag ng dagdag na layer, na epektibong tinatago ang mga pagkakakilanlan ng mga umaatake mula sa mga system na kanilang nakompromiso.
Ang LabRat Attack Operation ay Nagpapakita ng Malaking Pokus sa Stealth
Ang LabRat malware ay pinatibay ng matibay na pag-encrypt at mga sopistikadong anti-reverse engineering technique, na ginagawang isang napakahirap na gawain ang pagtuklas nito. Ang mga binary ng pagpupursige, na naka-code sa Go, ay nagpakita ng isang kahanga-hangang kakayahang manatiling hindi napapansin, tulad ng ginawa ng mga bahagi ng crypto-miner na ginamit ng pag-atake.
Napagmasdan ng mga mananaliksik na ang pangkat ng LabRat ay nagpakita ng isang pambihirang antas ng pangako sa kanilang mga pagsusumikap na itago ang code, na nagpapahintulot sa nagbabantang kargamento na gumana nang patago. Sa katunayan, ang mga banta ng aktor sa likod ng kampanyang ito ay lumilitaw na nagbibigay ng mas malaking diin sa pagpapanatili ng lihim kumpara sa marami pang iba, dahil kinikilala nila na ang oras ay direktang tumutugma sa pagtaas ng kita sa pananalapi. Kung mas matagal nilang masustain ang kanilang access habang pinapatakbo ang proxy jacking at cryptomining software, mas malaki ang kanilang kita sa pera.
Ang kahalagahan ng pananatiling hindi napapansin ay partikular na makabuluhan sa konteksto ng proxy jacking, kung saan ang pagiging epektibo ng isang hindi maiugnay na network ay direktang nakaugnay sa bilang ng mga node sa loob nito. Kung bumababa ang bilang ng node, ang serbisyo ay magiging madaling ma-block o nagiging hindi epektibo.
