Il malware LabRat potrebbe eludere il rilevamento
Un ceppo di malware scoperto di recente, noto come LabRat, sta causando preoccupazioni nel mondo della sicurezza informatica a causa della sua straordinaria capacità di rimanere nascosto alle misure di sicurezza convenzionali. Sysdig, un fornitore di sicurezza, ha riferito che il suo Threat Research Team (TRT) si è imbattuto in LabRat, che sembra fare di tutto per operare senza essere rilevato. Secondo Sysdig, le tattiche di LabRat dimostrano un livello di sofisticazione più elevato rispetto a molti altri attacchi informatici osservati dal loro TRT.
A differenza di alcuni aggressori che non danno priorità alla furtività, i creatori di LabRat hanno meticolosamente elaborato le loro operazioni per ridurre al minimo le possibilità di rilevamento. Questo ulteriore sforzo ha reso difficile per i difensori identificare e rispondere in modo efficace alla minaccia.
LabRat è principalmente coinvolto in campagne di cryptojacking e proxyjacking. Nel cryptojacking, utilizza segretamente il computer della vittima per estrarre criptovaluta per l'aggressore, mentre nel proxyjacking, la macchina della vittima è registrata in una rete di condivisione della larghezza di banda peer-to-peer, a vantaggio dell'aggressore. Il vettore di attacco per LabRat prevede lo sfruttamento di una vulnerabilità nota nei server GitLab (CVE-2021-2205), consentendo all'aggressore di eseguire l'esecuzione di codice in modalità remota e distribuire il payload sul sistema vulnerabile.
Ciò che distingue LabRat è il grado di offuscamento applicato al suo codice. Inoltre, l'utilizzo del servizio TryCloudFlare per instradare il traffico oscura ulteriormente la presenza degli aggressori sui sistemi infetti. Il direttore della ricerca sulle minacce di Sysdig, Michael Clark, ha osservato che le pesanti tecniche di crittografia e anti-reverse engineering di LabRat lo hanno reso non rilevabile da VirusTotal (VT), il che è abbastanza insolito.
LabRat difesa antimalware
Il gruppo LabRat sembra essere fortemente motivato a proteggere il proprio codice dall'analisi dei ricercatori white hat, come evidenziato dai loro estesi sforzi di offuscamento. Il loro obiettivo principale è mantenere l’accesso ai sistemi compromessi il più a lungo possibile per trarre profitto dal proxyjacking e dal cryptomining. Il tempo è essenziale, soprattutto nel proxyjacking, dove l'efficacia di una rete non attribuibile dipende dal numero di nodi. Se la rete diventa troppo piccola, può essere bloccata e resa inutilizzabile.
Sysdig consiglia che la migliore difesa degli amministratori contro tali attacchi sia il rilevamento tempestivo. Disporre di strumenti di monitoraggio aggiornati e capaci può aiutare a identificare gli attacchi nelle fasi iniziali, impedendo loro di mettere radici e implementando strumenti di controdifesa. In un panorama informatico in cui gli aggressori stanno diventando sempre più sofisticati, il rilevamento precoce rimane una componente fondamentale di una sicurezza informatica efficace.
