A LabRat malware elkerülheti az észlelést

A közelmúltban feltárt rosszindulatú programtörzs, a LabRat, aggodalomra ad okot a kiberbiztonsági világban, mivel rendkívüli módon képes rejtve maradni a hagyományos biztonsági intézkedések elől. A Sysdig, egy biztonsági szolgáltató arról számolt be, hogy fenyegetéskutató csoportja (TRT) rábukkant a LabRat-ra, amely a jelek szerint mindent megtesz annak érdekében, hogy észrevétlenül működjön. Sysdig szerint a LabRat taktikája magasabb szintű kifinomultságot mutat a TRT által megfigyelt sok más kibertámadáshoz képest.

Ellentétben néhány támadóval, akik nem részesítik előnyben a lopakodást, a LabRat alkotói aprólékosan kidolgozták működésüket, hogy minimalizálják az észlelés esélyét. Ez a többlet erőfeszítés megnehezítette a védők számára a fenyegetés azonosítását és hatékony reagálását.

A LabRat elsősorban cryptojacking és proxyjacking kampányokban vesz részt. A kriptojackelés során rejtetten az áldozat számítógépét használja a kriptovaluta bányászására a támadó számára, míg a proxyjacking során az áldozat gépe egy peer-to-peer sávszélesség-megosztó hálózatba van bejegyezve, ami a támadó hasznára válik. A LabRat támadási vektora magában foglalja a GitLab szerverek ismert sebezhetőségének (CVE-2021-2205) kihasználását, lehetővé téve a támadó számára, hogy távoli kódfuttatást érjen el, és telepítse a hasznos terhet a sérülékeny rendszerre.

A LabRat-ot az különbözteti meg egymástól, hogy milyen mértékben alkalmazzák a kódját. Ezenkívül a TryCloudFlare szolgáltatás használata a forgalom irányítására tovább eltakarja a támadók jelenlétét a fertőzött rendszereken. A Sysdig fenyegetéskutatási igazgatója, Michael Clark megjegyezte, hogy a LabRat erős titkosítási és visszafejtési technikái miatt a VirusTotal (VT) nem észleli, ami meglehetősen szokatlan.

LabRat Malware Defense

Úgy tűnik, hogy a LabRat-csoport erősen motivált, hogy megvédje kódját a fehérkalapos kutatók által végzett elemzésektől, amint azt kiterjedt elhomályosítási erőfeszítéseik is bizonyítják. Elsődleges céljuk, hogy a lehető leghosszabb ideig fenntartsák a hozzáférést a feltört rendszerekhez, hogy profitálhassanak a proxyjackből és a kriptominálásból. Az idő nagyon fontos, különösen a proxyjacking esetében, ahol egy nem tulajdonítható hálózat hatékonysága a csomópontok számától függ. Ha a hálózat túl kicsi lesz, blokkolható és használhatatlanná válik.

A Sysdig azt javasolja, hogy a rendszergazdák legjobb védekezése az ilyen támadások ellen a korai felismerés. A naprakész és jól működő megfigyelőeszközök segíthetnek a támadások korai szakaszában történő azonosításában, megakadályozva azok gyökeresedését és ellenvédelmi eszközök bevetését. Egy olyan kiberkörnyezetben, ahol a támadók egyre kifinomultabbak, a korai felismerés továbbra is a hatékony kiberbiztonság kritikus eleme.