LabRat Malware kunde undvika upptäckt

En nyligen upptäckt skadlig kod, känd som LabRat, orsakar oro i cybersäkerhetsvärlden på grund av dess extraordinära förmåga att förbli dold från konventionella säkerhetsåtgärder. Sysdig, en säkerhetsleverantör, rapporterade att dess Threat Research Team (TRT) stötte på LabRat, som verkar gå långt för att fungera oupptäckt. Enligt Sysdig visar LabRats taktik en högre nivå av sofistikering jämfört med många andra cyberattacker som observerats av deras TRT.

Till skillnad från vissa angripare som inte prioriterar smyg, har LabRats skapare noggrant utformat sin operation för att minimera chanserna för upptäckt. Denna extra insats har gjort det utmanande för försvarare att identifiera och reagera på hotet effektivt.

LabRat är främst involverat i kampanjer för kryptojackning och proxyjacking. Vid kryptojackning använder den offrets dator i hemlighet för att bryta kryptovaluta åt angriparen, medan vid proxyjackning är offrets maskin inskriven i ett peer-to-peer-nätverk för bandbreddsdelning, vilket gynnar angriparen. Attackvektorn för LabRat involverar utnyttjande av en känd sårbarhet i GitLab-servrar (CVE-2021-2205), vilket gör att angriparen kan uppnå fjärrexekvering av kod och distribuera nyttolasten på det sårbara systemet.

Det som skiljer LabRat åt är graden av obfuskation som tillämpas på dess kod. Dessutom döljer användningen av TryCloudFlare-tjänsten för att dirigera trafik ytterligare angriparnas närvaro på infekterade system. Sysdigs chef för hotforskning, Michael Clark, noterade att LabRats tunga kryptering och anti-reverse engineering-tekniker gjorde det omöjligt att upptäcka av VirusTotal (VT), vilket är ganska ovanligt.

LabRat Malware Defense

LabRat-gruppen verkar vara mycket motiverad att skydda sin kod från analys av forskare med vita hattar, vilket framgår av deras omfattande fördunklingsinsatser. Deras primära mål är att bibehålla tillgången till komprometterade system så länge som möjligt för att dra nytta av proxyjacking och kryptominering. Tid är avgörande, speciellt vid proxyjacking, där effektiviteten hos ett icke-tillskrivbart nätverk beror på antalet noder. Om nätverket blir för litet kan det blockeras och göras oanvändbart.

Sysdig rekommenderar att administratörers bästa försvar mot sådana attacker är tidig upptäckt. Att ha uppdaterade och kapabla övervakningsverktyg kan hjälpa till att identifiera attacker i deras tidiga skeden, förhindra dem från att slå rot och använda motförsvarsverktyg. I ett cyberlandskap där angripare blir allt mer sofistikerade, förblir tidig upptäckt en kritisk komponent för effektiv cybersäkerhet.