Το κακόβουλο λογισμικό LabRat θα μπορούσε να αποφύγει τον εντοπισμό

Ένα στέλεχος κακόβουλου λογισμικού που αποκαλύφθηκε πρόσφατα, γνωστό ως LabRat, προκαλεί ανησυχίες στον κόσμο της κυβερνοασφάλειας λόγω της εξαιρετικής ικανότητάς του να παραμένει κρυφό από τα συμβατικά μέτρα ασφαλείας. Η Sysdig, ένας προμηθευτής ασφάλειας, ανέφερε ότι η Ομάδα Έρευνας Απειλών (TRT) συνάντησε το LabRat, το οποίο φαίνεται να καταβάλλει κάθε δυνατή προσπάθεια για να λειτουργήσει απαρατήρητο. Σύμφωνα με τον Sysdig, οι τακτικές του LabRat επιδεικνύουν υψηλότερο επίπεδο πολυπλοκότητας σε σύγκριση με πολλές άλλες κυβερνοεπιθέσεις που παρατηρήθηκαν από το TRT τους.

Σε αντίθεση με ορισμένους επιτιθέμενους που δεν δίνουν προτεραιότητα στο stealth, οι δημιουργοί του LabRat έχουν σχεδιάσει σχολαστικά τη λειτουργία τους για να ελαχιστοποιήσουν τις πιθανότητες εντοπισμού. Αυτή η πρόσθετη προσπάθεια έχει καταστήσει δύσκολο για τους υπερασπιστές να αναγνωρίσουν και να ανταποκριθούν αποτελεσματικά στην απειλή.

Το LabRat ασχολείται κυρίως με εκστρατείες cryptojacking και proxyjacking. Στο cryptojacking, χρησιμοποιεί κρυφά τον υπολογιστή του θύματος για την εξόρυξη κρυπτονομισμάτων για τον εισβολέα, ενώ στο proxyjacking, ο υπολογιστής του θύματος είναι εγγεγραμμένος σε ένα δίκτυο κοινής χρήσης εύρους ζώνης peer-to-peer, προς όφελος του εισβολέα. Το διάνυσμα επίθεσης για το LabRat περιλαμβάνει την εκμετάλλευση μιας γνωστής ευπάθειας στους διακομιστές GitLab (CVE-2021-2205), επιτρέποντας στον εισβολέα να επιτύχει απομακρυσμένη εκτέλεση κώδικα και να αναπτύξει το ωφέλιμο φορτίο στο ευάλωτο σύστημα.

Αυτό που ξεχωρίζει το LabRat είναι ο βαθμός συσκότισης που εφαρμόζεται στον κώδικά του. Επιπλέον, η χρήση της υπηρεσίας TryCloudFlare για τη δρομολόγηση της κυκλοφορίας αποκρύπτει περαιτέρω την παρουσία των εισβολέων σε μολυσμένα συστήματα. Ο διευθυντής έρευνας απειλών του Sysdig, Michael Clark, σημείωσε ότι οι τεχνικές κρυπτογράφησης και αντι-αντίστροφης μηχανικής του LabRat το καθιστούν μη ανιχνεύσιμο από το VirusTotal (VT), κάτι που είναι αρκετά ασυνήθιστο.

LabRat Malware Defense

Η ομάδα LabRat φαίνεται να έχει υψηλά κίνητρα να προστατεύσει τον κώδικά της από την ανάλυση από ερευνητές λευκού καπέλου, όπως αποδεικνύεται από τις εκτεταμένες προσπάθειές τους για συσκότιση. Ο πρωταρχικός τους στόχος είναι να διατηρήσουν την πρόσβαση σε παραβιασμένα συστήματα για όσο το δυνατόν μεγαλύτερο χρονικό διάστημα για να επωφεληθούν από το proxyjacking και την cryptomining. Ο χρόνος είναι ουσιαστικός, ειδικά στο proxyjacking, όπου η αποτελεσματικότητα ενός δικτύου που δεν μπορεί να αποδοθεί εξαρτάται από τον αριθμό των κόμβων. Εάν το δίκτυο γίνει πολύ μικρό, μπορεί να αποκλειστεί και να αχρηστευτεί.

Η Sysdig συνιστά ότι η καλύτερη άμυνα των διαχειριστών έναντι τέτοιων επιθέσεων είναι η έγκαιρη ανίχνευση. Η ύπαρξη ενημερωμένων και ικανών εργαλείων παρακολούθησης μπορεί να βοηθήσει στον εντοπισμό των επιθέσεων στα αρχικά τους στάδια, εμποδίζοντάς τις να ριζώσουν και να αναπτύξουν εργαλεία αντιάμυνας. Σε ένα τοπίο στον κυβερνοχώρο όπου οι επιτιθέμενοι γίνονται ολοένα και πιο εξελιγμένοι, ο έγκαιρος εντοπισμός παραμένει κρίσιμο στοιχείο της αποτελεσματικής ασφάλειας στον κυβερνοχώρο.