„LabRat“ kenkėjiška programa gali išvengti aptikimo

Neseniai atskleista kenkėjiškų programų atmaina, žinoma kaip LabRat, kelia susirūpinimą kibernetinio saugumo pasaulyje dėl savo nepaprasto gebėjimo likti paslėptam nuo įprastų saugumo priemonių. „Sysdig“, saugumo pardavėjas, pranešė, kad jos grėsmių tyrimo komanda (TRT) susidūrė su „LabRat“, kuri, atrodo, labai stengiasi veikti nepastebėta. Pasak Sysdig, „LabRat“ taktika rodo aukštesnį sudėtingumo lygį, palyginti su daugeliu kitų kibernetinių atakų, kurias pastebėjo jų TRT.

Skirtingai nei kai kurie užpuolikai, kurie neteikia pirmenybės slaptumui, „LabRat“ kūrėjai kruopščiai sukūrė savo veiklą, kad sumažintų aptikimo tikimybę. Dėl šių papildomų pastangų gynėjams buvo sunku nustatyti grėsmę ir veiksmingai į ją reaguoti.

LabRat visų pirma dalyvauja kriptovaliutų ir tarpinio serverio užgrobimo kampanijose. Vykdant kriptovaliutą, jis slapta naudoja aukos kompiuterį, kad išgautų kriptovaliutą užpuolikui, o tarpinio užgrobimo atveju aukos mašina yra įtraukta į lygiavertį pralaidumo dalijimosi tinklą, o tai naudinga užpuolikui. „LabRat“ atakos vektorius apima žinomo „GitLab“ serverių pažeidžiamumo (CVE-2021-2205) išnaudojimą, leidžiantį užpuolikui nuotoliniu būdu vykdyti kodą ir perkelti naudingąją apkrovą pažeidžiamoje sistemoje.

LabRat išskiria jo kodui pritaikyto užmaskavimo laipsnis. Be to, „TryCloudFlare“ paslaugos naudojimas srautui nukreipti dar labiau užtemdo užpuolikų buvimą užkrėstose sistemose. „Sysdig“ grėsmių tyrimų direktorius Michaelas Clarkas pažymėjo, kad „LabRat“ sudėtingas šifravimas ir anti-reverse inžinerijos metodai padarė jį neaptinkamą „VirusTotal“ (VT), o tai yra gana neįprasta.

„LabRat“ kenkėjiškų programų apsauga

Atrodo, kad „LabRat“ grupė yra labai motyvuota apsaugoti savo kodą nuo baltųjų skrybėlių tyrinėtojų analizės, kaip rodo jų didelės pastangos užmaskuoti. Jų pagrindinis tikslas yra išlaikyti prieigą prie pažeistų sistemų kuo ilgiau, kad būtų galima pasipelnyti iš tarpinio serverio įsilaužimo ir šifravimo. Laikas yra labai svarbus, ypač tarpinio serverio įsilaužimo atveju, kai nepriskiriamo tinklo efektyvumas priklauso nuo mazgų skaičiaus. Jei tinklas tampa per mažas, jis gali būti užblokuotas ir nenaudingas.

Sysdig rekomenduoja, kad geriausia administratorių apsauga nuo tokių atakų būtų ankstyvas aptikimas. Šiuolaikinės ir tinkamos stebėjimo priemonės gali padėti atpažinti atakas ankstyvosiose stadijose, neleisti joms įsitvirtinti ir panaudoti priešpriešinės gynybos priemones. Kibernetinėje aplinkoje, kur užpuolikai tampa vis sudėtingesni, ankstyvas aptikimas išlieka esminiu veiksmingo kibernetinio saugumo komponentu.