LabRat マルウェアは検出を回避する可能性がある
LabRat として知られる最近発見されたマルウェア株は、従来のセキュリティ対策から隠蔽され続ける驚異的な能力により、サイバーセキュリティの世界に懸念を引き起こしています。セキュリティ ベンダーの Sysdig は、同社の脅威調査チーム (TRT) が LabRat を発見したと報告しました。LabRat は検出されずに動作するために多大な努力を払っているようです。 Sysdig によると、LabRat の戦術は、TRT によって観察された他の多くのサイバー攻撃と比較して、より高度なレベルの巧妙さを示しています。
ステルス性を優先しない一部の攻撃者とは異なり、LabRat の作成者は検出の可能性を最小限に抑えるために細心の注意を払って作戦を練り上げています。この追加の労力により、防御側が脅威を効果的に特定して対応することが困難になっています。
LabRat は主にクリプトジャッキングおよびプロキシジャッキング キャンペーンに関与しています。クリプトジャッキングでは、被害者のコンピュータを密かに使用して攻撃者のために暗号通貨をマイニングしますが、プロキシジャッキングでは、被害者のコンピュータがピアツーピアの帯域幅共有ネットワークに登録され、攻撃者に利益をもたらします。 LabRat の攻撃ベクトルには、GitLab サーバーの既知の脆弱性 (CVE-2021-2205) の悪用が含まれており、攻撃者がリモートでコードを実行し、脆弱なシステムにペイロードを展開することを可能にします。
LabRat の特徴は、コードに適用される難読化の程度です。さらに、TryCloudFlare サービスを使用してトラフィックをルーティングすると、感染したシステム上での攻撃者の存在がさらにわかりにくくなります。 Sysdig の脅威研究担当ディレクター、マイケル クラーク氏は、LabRat は高度な暗号化とアンチリバース エンジニアリング技術により、VirusTotal (VT) で検出できなくなりましたが、これは非常に珍しいことであると述べました。
LabRat マルウェア防御
LabRat グループは、大規模な難読化の取り組みからわかるように、ホワイト ハット研究者による分析からコードを保護することに非常に意欲的であるようです。彼らの主な目的は、プロキシジャッキングやクリプトマイニングから利益を得るために、侵害されたシステムへのアクセスをできるだけ長く維持することです。特にプロキシジャッキングでは、時間は非常に重要です。プロキシジャッキングでは、原因が特定できないネットワークの有効性がノードの数に依存します。ネットワークが小さくなりすぎると、ブロックされて役に立たなくなる可能性があります。
Sysdig では、このような攻撃に対する管理者の最善の防御策は早期発見であることを推奨しています。最新の有能な監視ツールを使用すると、攻撃を初期段階で特定し、攻撃が根付くのを防ぎ、対抗防御ツールを導入することができます。攻撃者がますます巧妙化するサイバー環境においては、早期発見が効果的なサイバーセキュリティの重要な要素であり続けます。