LabRat-Malware könnte der Erkennung entgehen
Ein kürzlich entdeckter Malware-Stamm, bekannt als LabRat, sorgt in der Welt der Cybersicherheit für Besorgnis, da er die außergewöhnliche Fähigkeit hat, vor herkömmlichen Sicherheitsmaßnahmen verborgen zu bleiben. Sysdig, ein Sicherheitsanbieter, berichtete, dass sein Threat Research Team (TRT) auf LabRat gestoßen sei, das offenbar große Anstrengungen unternimmt, um unentdeckt zu agieren. Laut Sysdig weisen die Taktiken von LabRat im Vergleich zu vielen anderen von ihrem TRT beobachteten Cyberangriffen ein höheres Maß an Raffinesse auf.
Im Gegensatz zu einigen Angreifern, die nicht auf Tarnung setzen, haben die Entwickler von LabRat ihre Vorgehensweise sorgfältig entwickelt, um die Wahrscheinlichkeit einer Entdeckung zu minimieren. Dieser zusätzliche Aufwand hat es für die Verteidiger schwierig gemacht, die Bedrohung effektiv zu erkennen und darauf zu reagieren.
LabRat ist hauptsächlich an Kryptojacking- und Proxyjacking-Kampagnen beteiligt. Beim Cryptojacking nutzt es heimlich den Computer des Opfers, um Kryptowährungen für den Angreifer zu schürfen, während beim Proxyjacking der Computer des Opfers in einem Peer-to-Peer-Netzwerk zur gemeinsamen Bandbreitennutzung registriert wird, was dem Angreifer zugute kommt. Der Angriffsvektor für LabRat besteht darin, eine bekannte Schwachstelle in GitLab-Servern (CVE-2021-2205) auszunutzen, die es dem Angreifer ermöglicht, Code aus der Ferne auszuführen und die Nutzlast auf dem anfälligen System bereitzustellen.
Was LabRat auszeichnet, ist der Grad der Verschleierung seines Codes. Darüber hinaus verschleiert die Verwendung des TryCloudFlare-Dienstes zur Weiterleitung des Datenverkehrs die Präsenz der Angreifer auf infizierten Systemen zusätzlich. Sysdigs Direktor für Bedrohungsforschung, Michael Clark, stellte fest, dass LabRat aufgrund seiner starken Verschlüsselung und Anti-Reverse-Engineering-Techniken für VirusTotal (VT) nicht erkennbar war, was ziemlich ungewöhnlich ist.
LabRat-Malware-Abwehr
Die LabRat-Gruppe scheint hoch motiviert zu sein, ihren Code vor der Analyse durch White-Hat-Forscher zu schützen, wie ihre umfangreichen Verschleierungsbemühungen belegen. Ihr Hauptziel besteht darin, den Zugriff auf kompromittierte Systeme so lange wie möglich aufrechtzuerhalten, um von Proxyjacking und Kryptomining zu profitieren. Zeit ist von entscheidender Bedeutung, insbesondere beim Proxyjacking, wo die Wirksamkeit eines nicht zuordenbaren Netzwerks von der Anzahl der Knoten abhängt. Wird das Netzwerk zu klein, kann es blockiert und unbrauchbar gemacht werden.
Sysdig empfiehlt, dass die beste Verteidigung von Administratoren gegen solche Angriffe die Früherkennung ist. Der Einsatz aktueller und leistungsfähiger Überwachungstools kann dabei helfen, Angriffe bereits im Frühstadium zu erkennen, sie daran zu hindern, sich zu etablieren, und Abwehrmaßnahmen einzusetzen. In einer Cyberlandschaft, in der Angreifer immer raffinierter werden, bleibt die Früherkennung ein entscheidender Bestandteil effektiver Cybersicherheit.