Sysdig Threat Research Team opdagede fornylig en ny proxyjacking-kampagne, som ellers har gjort det utroligt svært opdaget.
LabRat malware, har været helt ekseptionelt dygtig til at undgå opdagelse har været meget succesfuld i at omgå adskillige forsvars- og sikkerhedsforanstaltninger.
Sikkerhedsudbyderen Sysdig har dog lige akkurat afsløret, at dets Threat Research Team (TRT) har fundet en malware-nyttelast ved navn LabRat, som ser ud til at bruge ekstraordinære taktikker til at betjene inkognito.
"Sammenlignet med de typiske angreb, som Sysdig TRT-holdet er vidne til, læner denne sig mod den mere sofistikerede ende af spektret" - Sysdig TRT
"Selvom mange angribere ikke prioriterer stealth, tog denne trusselsaktør møjsommelige foranstaltninger i forbindelse med udformningen af ​​deres operation. Disse bestræbelser vil udgøre større udfordringer for forsvarere ved opdagelse" uddyber Sysdig.
Selve malwaren ser ud til at være en standard cryptojacking- og proxyjacking-kampagne.
I en cryptojacking-kampagne bliver ofrets system i det skjulte brugt til at udvinde kryptovaluta for angriberen. I mellemtiden tilmelder en proxyjacking-kampagne diskret ofrets system til en peer-to-peer-delingsplatform for båndbredde, hvilket gavner angriberen.
TRT-teamet rapporterer, at angrebet udnytter en kendt sårbarhed i GitLab-servere (CVE-2021-2205), hvilket gør det muligt for angriberen at opnå fjernudførelse af kode og implementere nyttelasten på den sårbare maskine.
Det, der dog adskiller denne kampagne, er malware-forfatternes dedikation til at sløre deres kode. Desuden slører brugen af ​​TryCloudFlare-tjenesten til at dirigere trafikken yderligere angriberne fra deres kompromitterede systemer.
"Der er omfattende kryptering og anti-reverse engineering-teknikker anvendt på malwaren, som gik ubemærket hen af ​​VirusTotal (VT), en sjældenhed i vores erfaring," afslører Sysdigs direktør for trusselsforskning, Michael Clark, til The Stack.
"De binære filer, skrevet i Go, brugt til persistens, blev også uopdaget i VT, ligesom kryptominerne" Michael Clark, Threat Research Director, Sysdig
Forskere observerer, at LabRat-gruppen ser ud til at have gået den ekstra mil i deres bestræbelser på at skjule koden og sikre, at den ondsindede nyttelast kan fungere uopdaget og forpurre forskere med hvide hat, der sigter på at dissekere malwaren til modforanstaltninger.
"Disse trusselsaktører lægger større vægt på stealth end de fleste, fordi tid omsættes til penge. Jo længere de bevarer adgangen og kører proxyjacking og kryptomining-softwaren, jo mere tjener de," forklarer Clark.
"Tid er især afgørende for proxyjacking, da et ikke-tilskriveligt netværk kun er så effektivt som antallet af noder i deres netværk. Hvis det svinder ind, kan tjenesten blokeres, hvilket gør den ubrugelig."
Sysdig anbefaler, at tidlig opdagelse er det bedste forsvar mod sådanne angreb. At have opdaterede og robuste overvågningsværktøjer kan hjælpe med at identificere angreb i deres indledende faser, forhindre dem i at tage fat og implementere modforsvarsværktøjer.