Le logiciel malveillant LabRat pourrait échapper à la détection

Une souche de malware récemment découverte, connue sous le nom de LabRat, suscite des inquiétudes dans le monde de la cybersécurité en raison de son extraordinaire capacité à rester cachée aux mesures de sécurité conventionnelles. Sysdig, un fournisseur de sécurité, a signalé que son équipe de recherche sur les menaces (TRT) était tombée sur LabRat, qui semble faire de grands efforts pour fonctionner sans être détecté. Selon Sysdig, les tactiques de LabRat démontrent un niveau de sophistication supérieur à celui de nombreuses autres cyberattaques observées par leur TRT.

Contrairement à certains attaquants qui ne donnent pas la priorité à la furtivité, les créateurs de LabRat ont méticuleusement conçu leur opération pour minimiser les chances de détection. Cet effort supplémentaire a rendu difficile pour les défenseurs d’identifier la menace et d’y répondre efficacement.

LabRat est principalement impliqué dans des campagnes de cryptojacking et de proxyjacking. Dans le cas du cryptojacking, il utilise secrètement l'ordinateur de la victime pour extraire de la cryptomonnaie pour le compte de l'attaquant, tandis que dans le cas du proxyjacking, la machine de la victime est inscrite dans un réseau de partage de bande passante peer-to-peer, au profit de l'attaquant. Le vecteur d'attaque de LabRat implique l'exploitation d'une vulnérabilité connue dans les serveurs GitLab (CVE-2021-2205), permettant à l'attaquant d'exécuter du code à distance et de déployer la charge utile sur le système vulnérable.

Ce qui distingue LabRat, c'est le degré d'obscurcissement appliqué à son code. De plus, l'utilisation du service TryCloudFlare pour acheminer le trafic masque davantage la présence des attaquants sur les systèmes infectés. Michael Clark, directeur de la recherche sur les menaces chez Sysdig, a noté que les techniques lourdes de chiffrement et d'ingénierie anti-rétro de LabRat le rendaient indétectable par VirusTotal (VT), ce qui est assez inhabituel.

Défense contre les logiciels malveillants LabRat

Le groupe LabRat semble être très motivé à protéger son code de l'analyse par des chercheurs au chapeau blanc, comme en témoignent ses vastes efforts d'obscurcissement. Leur objectif principal est de maintenir l’accès aux systèmes compromis le plus longtemps possible afin de profiter du proxyjacking et du cryptomining. Le temps presse, en particulier dans le proxyjacking, où l'efficacité d'un réseau non attribuable dépend du nombre de nœuds. Si le réseau devient trop petit, il peut être bloqué et rendu inutile.

Sysdig recommande que la meilleure défense des administrateurs contre de telles attaques soit la détection précoce. Disposer d’outils de surveillance à jour et performants peut aider à identifier les attaques dès leurs premiers stades, les empêchant de s’implanter et à déployer des outils de contre-défense. Dans un paysage cybernétique où les attaquants sont de plus en plus sophistiqués, la détection précoce reste un élément essentiel d’une cybersécurité efficace.