Шкідливе програмне забезпечення LabRat

Підступний пакет шкідливих програм, який надзвичайно важко виявити, викликав занепокоєння через його очевидну здатність обходити численні захисні заходи та протоколи безпеки. Поглиблене дослідження, проведене експертами, виявило зловмисне програмне забезпечення LabRat, яке демонструє надзвичайний рівень складності в своїх стратегіях залишатися прихованими та працювати без виявлення.

На відміну від більшості подібних кібератак, які надають перевагу швидкості над тонкістю, розгортання шкідливого програмного забезпечення LabRat демонструє високий ступінь витонченості. Цей загрозливий актор ретельно розробив свою операцію, приділяючи особливу увагу скритності, фактору, яким багато зловмисників схильні нехтувати. Ці сумлінні зусилля з боку суб’єкта загрози можуть значно посилити виклики, з якими стикаються захисники під час виявлення цієї загрози та протидії їй.

Зловмисне програмне забезпечення LabRat виконує крипто- та проксі-зловмисники

Аналіз зловмисного програмного забезпечення LabRat показує, що загроза є відносно типовим інструментом для шифрування та проксі. Під час кампанії криптовикрадення зловмисники таємно використовують комп’ютер жертви для майнінгу криптовалюти, отримуючи прибуток, використовуючи ресурси жертви. З іншого боку, кампанія викрадення проксі-сервера передбачає тихе залучення комп’ютера жертви до однорангової мережі із спільним використанням пропускної здатності, що приносить користь зловмиснику, розширюючи його ресурси.

Метод атаки ґрунтується на розпізнаній уразливості на серверах GitLab (CVE-2021-2205), яка використовує її для віддаленого виконання коду та введення корисного навантаження зловмисного програмного забезпечення на скомпрометовану машину.

Однак, що відрізняє цю конкретну атакувальну кампанію, це помітна самовідданість, яку виявили розробники зловмисного програмного забезпечення, приховуючи свій код. Крім того, впровадження служби TryCloudFlare для маршрутизації трафіку додає додатковий рівень, ефективно маскуючи особи зловмисників від систем, які вони зламали.

Операція LabRat Attack демонструє значну увагу до стелсу

Зловмисне програмне забезпечення LabRat посилене надійним шифруванням і складними методами захисту від зворотного проектування, що робить його виявлення надзвичайно складним завданням. Постійні двійкові файли, закодовані в Go, продемонстрували дивовижну здатність залишатися непоміченими, так само як і компоненти криптомайнера, використані під час атаки.

Дослідники помітили, що група LabRat продемонструвала винятковий рівень відданості у своїх спробах приховати код, дозволяючи загрозливому корисному навантаженню працювати таємно. Дійсно, учасники загроз, які стоять за цією кампанією, схоже, приділяють більше уваги збереженню скритності порівняно з багатьма іншими, оскільки вони визнають, що час безпосередньо відповідає збільшенню фінансової вигоди. Чим довше вони можуть підтримувати свій доступ під час роботи програмного забезпечення для вилучення проксі-серверів і криптомайнінгу, тим більший їхній грошовий прибуток.

Важливість залишатися непоміченим особливо важлива в контексті джекінгу проксі-серверів, де ефективність мережі, що не підлягає приписуванню, безпосередньо пов’язана з кількістю вузлів у ній. Якщо кількість вузлів зменшується, служба стає вразливою до блокування або просто стає неефективною.