Phần mềm độc hại LabRat

Một gói phần mềm độc hại nguy hiểm đặc biệt khó phát hiện đã gây ra mối lo ngại do khả năng vượt qua nhiều biện pháp phòng thủ và giao thức bảo mật rõ ràng của nó. Nghiên cứu chuyên sâu được thực hiện bởi các chuyên gia đã tiết lộ phần mềm độc hại LabRat, thể hiện mức độ tinh vi đáng kể trong các chiến lược của nó để luôn ẩn và hoạt động mà không bị phát hiện.

Không giống như phần lớn các cuộc tấn công mạng tương tự ưu tiên tốc độ hơn là sự tinh vi, việc triển khai phần mềm độc hại LabRat thể hiện mức độ tinh vi cao. Kẻ đe dọa này đã thiết kế hoạt động của chúng một cách tỉ mỉ, đặc biệt chú ý đến tính năng tàng hình, một yếu tố mà nhiều kẻ tấn công có xu hướng bỏ qua. Những nỗ lực tận tâm này của tác nhân đe dọa sẵn sàng nâng cao đáng kể những thách thức mà những người bảo vệ phải đối mặt trong việc xác định và chống lại mối đe dọa này.

Phần mềm độc hại LabRat thực hiện các hành động tấn công tiền điện tử và proxy

Phân tích phần mềm độc hại LabRat cho thấy mối đe dọa là một ví dụ tương đối điển hình của công cụ tấn công bằng proxy và mã hóa. Trong chiến dịch cryptojacking, những kẻ tấn công bí mật sử dụng máy tính của nạn nhân để khai thác tiền điện tử, tạo ra lợi nhuận bằng cách khai thác tài nguyên của nạn nhân. Mặt khác, chiến dịch tấn công proxy liên quan đến việc âm thầm đưa máy tính của nạn nhân vào mạng chia sẻ băng thông ngang hàng, điều này mang lại lợi ích cho kẻ tấn công bằng cách mở rộng tài nguyên của họ.

Phương thức tấn công dựa vào lỗ hổng đã được xác định trong máy chủ GitLab (CVE-2021-2205), khai thác lỗ hổng này để thực thi mã từ xa và đưa phần mềm độc hại vào máy bị xâm nhập.

Tuy nhiên, điều làm nên sự khác biệt của chiến dịch tấn công cụ thể này là sự cống hiến đáng chú ý của những người tạo ra phần mềm độc hại trong việc che giấu mã của họ. Hơn nữa, việc áp dụng dịch vụ TryCloudFlare để định tuyến lưu lượng truy cập sẽ bổ sung thêm một lớp, che giấu hiệu quả danh tính của kẻ tấn công khỏi hệ thống mà chúng đã xâm phạm.

Chiến dịch tấn công LabRat cho thấy sự tập trung đáng kể vào khả năng tàng hình

Phần mềm độc hại LabRat được củng cố bằng mã hóa mạnh mẽ và các kỹ thuật kỹ thuật chống đảo ngược tinh vi, khiến việc phát hiện nó trở thành một nhiệm vụ cực kỳ khó khăn. Các tệp nhị phân bền vững, được mã hóa bằng Go, thể hiện một khả năng đáng chú ý là không bị chú ý, cũng như các thành phần khai thác tiền điện tử được cuộc tấn công sử dụng.

Các nhà nghiên cứu quan sát thấy rằng nhóm LabRat đã thể hiện mức độ cam kết đặc biệt trong nỗ lực che giấu mã, cho phép tải trọng đe dọa hoạt động một cách bí mật. Thật vậy, những kẻ đe dọa đằng sau chiến dịch này dường như chú trọng nhiều hơn đến việc duy trì khả năng tàng hình so với nhiều chiến dịch khác, vì chúng nhận ra rằng thời gian tương ứng trực tiếp với lợi ích tài chính tăng lên. Họ có thể duy trì quyền truy cập của mình trong khi chạy phần mềm khai thác tiền điện tử và hack proxy càng lâu thì lợi nhuận tiền tệ của họ càng lớn.

Tầm quan trọng của việc không được chú ý đặc biệt quan trọng trong bối cảnh sử dụng proxy, trong đó hiệu quả của một mạng không thể phân bổ được liên kết trực tiếp với số lượng nút trong đó. Nếu số lượng nút giảm dần, dịch vụ sẽ dễ bị chặn hoặc đơn giản là trở nên không hiệu quả.