Złośliwe oprogramowanie LabRat może uniknąć wykrycia

Niedawno odkryta odmiana złośliwego oprogramowania, znana jako LabRat, budzi obawy w świecie cyberbezpieczeństwa ze względu na jej niezwykłą zdolność do ukrywania się przed konwencjonalnymi środkami bezpieczeństwa. Firma Sysdig, dostawca zabezpieczeń, poinformowała, że jej zespół ds. badania zagrożeń (TRT) natknął się na LabRat, który najwyraźniej dokłada wszelkich starań, aby działać niezauważony. Według Sysdiga taktyka LabRat charakteryzuje się wyższym poziomem wyrafinowania w porównaniu z wieloma innymi cyberatakami zaobserwowanymi przez ich TRT.

W przeciwieństwie do niektórych napastników, którzy nie traktują priorytetowo ukrywania się, twórcy LabRat skrupulatnie opracowali swoje operacje, aby zminimalizować szanse wykrycia. Ten dodatkowy wysiłek utrudnił obrońcom skuteczną identyfikację zagrożenia i reakcję na nie.

LabRat zajmuje się głównie kampaniami cryptojackingu i proxyjackingu. Podczas cryptojackingu potajemnie wykorzystuje komputer ofiary do wydobywania kryptowaluty dla atakującego, natomiast podczas proxyjacking maszyna ofiary jest zarejestrowana w sieci współdzielącej przepustowość typu peer-to-peer, co przynosi korzyść atakującemu. Wektor ataku LabRat obejmuje wykorzystanie znanej luki w serwerach GitLab (CVE-2021-2205), umożliwiając osobie atakującej zdalne wykonanie kodu i wdrożenie ładunku w podatnym systemie.

Tym, co wyróżnia LabRat, jest stopień zaciemnienia zastosowanego w jego kodzie. Ponadto użycie usługi TryCloudFlare do kierowania ruchu jeszcze bardziej utrudnia obecność atakujących w zainfekowanych systemach. Dyrektor ds. badań zagrożeń w firmie Sysdig, Michael Clark, zauważył, że zaawansowane techniki szyfrowania i inżynierii wstecznej stosowane w LabRat sprawiają, że jest on niewykrywalny przez VirusTotal (VT), co jest dość niezwykłe.

Ochrona przed złośliwym oprogramowaniem LabRat

Wydaje się, że grupa LabRat jest bardzo zmotywowana do ochrony swojego kodu przed analizą przeprowadzaną przez badaczy białych kapeluszy, o czym świadczą ich szeroko zakrojone wysiłki mające na celu zaciemnianie informacji. Ich głównym celem jest utrzymanie dostępu do zaatakowanych systemów tak długo, jak to możliwe, aby czerpać zyski z proxyjackingu i wydobywania kryptowalut. Czas odgrywa kluczową rolę, zwłaszcza w przypadku proxyjackingu, gdzie efektywność sieci, której nie można przypisać, zależy od liczby węzłów. Jeśli sieć stanie się zbyt mała, może zostać zablokowana i uczynić bezużyteczną.

Sysdig zaleca, aby najlepszą obroną administratorów przed takimi atakami było wczesne wykrywanie. Posiadanie aktualnych i wydajnych narzędzi monitorujących może pomóc w identyfikowaniu ataków na wczesnym etapie, uniemożliwiając ich zakorzenienie i wdrożenie narzędzi przeciwdziałania. W cyberprzestrzeni, w której napastnicy stają się coraz bardziej wyrafinowani, wczesne wykrywanie pozostaje kluczowym elementem skutecznego cyberbezpieczeństwa.