LabRat Malware kunne undgå registrering
En nyligt afsløret malware-stamme, kendt som LabRat, giver anledning til bekymringer i cybersikkerhedsverdenen på grund af dens ekstraordinære evne til at forblive skjult for konventionelle sikkerhedsforanstaltninger. Sysdig, en sikkerhedsleverandør, rapporterede, at dets Threat Research Team (TRT) stødte på LabRat, som ser ud til at gå meget langt for at fungere uopdaget. Ifølge Sysdig demonstrerer LabRats taktik et højere niveau af sofistikering sammenlignet med mange andre cyberangreb observeret af deres TRT.
I modsætning til nogle angribere, der ikke prioriterer stealth, har LabRats skabere omhyggeligt udformet deres operation for at minimere chancerne for opdagelse. Denne ekstra indsats har gjort det udfordrende for forsvarere at identificere og reagere effektivt på truslen.
LabRat er primært involveret i cryptojacking og proxyjacking kampagner. Ved cryptojacking bruger den i det skjulte ofrets computer til at mine kryptovalutaer for angriberen, mens i proxyjacking er offerets maskine tilmeldt et peer-to-peer båndbreddedelingsnetværk, hvilket gavner angriberen. Angrebsvektoren for LabRat involverer udnyttelse af en kendt sårbarhed i GitLab-servere (CVE-2021-2205), hvilket gør det muligt for angriberen at opnå fjernudførelse af kode og implementere nyttelasten på det sårbare system.
Det, der adskiller LabRat, er graden af sløring, der anvendes på dens kode. Derudover slører brugen af TryCloudFlare-tjenesten til at dirigere trafik yderligere angribernes tilstedeværelse på inficerede systemer. Sysdigs direktør for trusselsforskning, Michael Clark, bemærkede, at LabRats tunge kryptering og anti-reverse engineering-teknikker gjorde det uopdageligt af VirusTotal (VT), hvilket er ret usædvanligt.
LabRat-malwareforsvar
LabRat-gruppen ser ud til at være yderst motiveret til at beskytte deres kode mod analyse fra forskere i hvid hat, som det fremgår af deres omfattende tilsløringsbestræbelser. Deres primære mål er at bevare adgangen til kompromitterede systemer så længe som muligt for at drage fordel af proxyjacking og kryptominering. Tid er af essensen, især i proxyjacking, hvor effektiviteten af et ikke-henførbart netværk afhænger af antallet af noder. Hvis netværket bliver for lille, kan det blokeres og gøres ubrugeligt.
Sysdig anbefaler, at administratorers bedste forsvar mod sådanne angreb er tidlig opdagelse. At have opdaterede og egnede overvågningsværktøjer kan hjælpe med at identificere angreb i deres tidlige stadier, forhindre dem i at slå rod og implementere modforsvarsværktøjer. I et cyberlandskab, hvor angribere bliver stadig mere sofistikerede, er tidlig detektion fortsat en kritisk komponent i effektiv cybersikkerhed.
