Вредоносное ПО LabRat может уклоняться от обнаружения

Недавно обнаруженный штамм вредоносного ПО, известный как LabRat, вызывает обеспокоенность в мире кибербезопасности из-за своей исключительной способности оставаться скрытым от обычных мер безопасности. Компания Sysdig, поставщик систем безопасности, сообщила, что ее группа по исследованию угроз (TRT) столкнулась с LabRat, который, судя по всему, делает все возможное, чтобы работать незамеченным. По данным Sysdig, тактика LabRat демонстрирует более высокий уровень сложности по сравнению со многими другими кибератаками, наблюдаемыми их TRT.

В отличие от некоторых злоумышленников, которые не отдают предпочтение скрытности, создатели LabRat тщательно разработали свою операцию, чтобы минимизировать шансы на обнаружение. Из-за этих дополнительных усилий правозащитникам стало сложнее выявлять угрозу и эффективно реагировать на нее.

LabRat в основном участвует в кампаниях по криптоджекингу и проксиджекингу. При криптоджекинге он тайно использует компьютер жертвы для добычи криптовалюты для злоумышленника, а при проксиджекинге компьютер жертвы подключается к одноранговой сети с разделением полосы пропускания, что приносит пользу злоумышленнику. Вектор атаки LabRat предполагает использование известной уязвимости на серверах GitLab (CVE-2021-2205), позволяющей злоумышленнику удаленно выполнить код и развернуть полезную нагрузку на уязвимую систему.

Что отличает LabRat, так это степень запутывания его кода. Кроме того, использование сервиса TryCloudFlare для маршрутизации трафика еще больше скрывает присутствие злоумышленников в зараженных системах. Директор по исследованию угроз Sysdig Майкл Кларк отметил, что надежные технологии шифрования и защиты от обратного проектирования LabRat сделали его необнаружимым для VirusTotal (VT), что весьма необычно.

Защита от вредоносного ПО LabRat

Группа LabRat, похоже, очень заинтересована в защите своего кода от анализа исследователями в белой шляпе, о чем свидетельствуют их обширные усилия по запутыванию. Их основная цель — как можно дольше сохранять доступ к скомпрометированным системам и получать прибыль от прокси-джекинга и майнинга криптовалют. Время имеет решающее значение, особенно при проксиджекинге, где эффективность неатрибутивной сети зависит от количества узлов. Если сеть станет слишком маленькой, ее можно заблокировать и сделать бесполезной.

Sysdig рекомендует администраторам лучшей защитой от таких атак является раннее обнаружение. Наличие современных и эффективных инструментов мониторинга может помочь выявить атаки на ранних стадиях, не допустить их укоренения и развернуть инструменты контрзащиты. В киберпространстве, где злоумышленники становятся все более изощренными, раннее обнаружение остается важнейшим компонентом эффективной кибербезопасности.