
Google Nest Mini x Apple HomePod Mini: pequeno confronto de alto-falantes inteligentes
May 25, 2023Os pilotos enfrentam terrenos acidentados para arrecadar fundos para as Olimpíadas Especiais
May 26, 202387ª Feira Agrícola do Condado de Iredell marcada para começar em 1º de setembro
May 27, 2023Quarenta Acres Insider: 29 de agosto
May 28, 2023Rua Roodepoort North entrando no nono dia de impotência
May 29, 2023Campanha furtiva ‘LabRat’ abusa do TryCloudflare para ocultar infraestrutura
A operação de criptomineração e proxyjacking ‘LabRat’ depende de ferramentas baseadas em assinaturas e malware furtivo de plataforma cruzada, e abusa do TryCloudflare para ocultar seus C&Cs.
Por
Uma operação recém-descoberta com motivação financeira depende de ferramentas baseadas em assinaturas e malware furtivo de plataforma cruzada para permanecer sem detecção e abusa do TryCloudflare para ocultar sua infraestrutura de comando e controle (C&C), relata a empresa de segurança em nuvem Sysdig.
Chamada de LabRat e focada em criptomineração e proxyjacking, a campanha foi vista contando com binários escritos em Go e .NET, rootkits baseados em kernel e ferramentas C&C para contornar firewalls.
Os invasores exploraram CVE-2021-22205, uma vulnerabilidade de gravidade crítica que afeta as versões 11.9 a 13.10.3, 13.9.6 e 13.8.8 do GitLab Community Edition (CE) e Enterprise Edition (EE). Corrigida em abril de 2021, a vulnerabilidade tem uma pontuação CVSS de 10.
O bug leva à execução remota de código não autenticado e, como parte desta campanha, os invasores o exploraram para implantar um script para obter persistência, eliminar processos específicos para escapar das defesas, baixar binários adicionais e realizar movimentos laterais coletando chaves SSH.
Para ofuscar sua infraestrutura, os invasores criaram subdomínios do serviço TryCloudflare da Cloudflare. Para isso, bastava baixar e instalar o Cloudflared e executar um comando específico.
Através do TryCloudflare, os invasores redirecionaram as conexões para um servidor protegido por senha que hospedava o script inicial, gerando um novo subdomínio para cada iteração do script.
Como parte da atividade observada, os invasores se vincularam diretamente a um repositório privado do GitLab que hospeda vários binários, incluindo alguns carregados lá recentemente e ainda não detectados pelos serviços antivírus.
A Sysdig também descobriu uma variação do ataque, onde um servidor Solr foi usado em vez do TryCloudflare. Apontando para uma página legítima, o servidor provavelmente foi comprometido pelos invasores e abusado como parte da operação.
Os operadores do LabRat também foram vistos usando a ferramenta de código aberto Global Socket (GSocket) – que oferece uma rede de retransmissão ou proxy personalizada, criptografia e conectividade através da rede Tor – para obter acesso persistente aos sistemas infectados.
Ao investigar os repositórios usados nesta campanha, a Sysdig identificou arquivos relacionados a um serviço de proxyware russo chamado ProxyLite[.]ru, bem como binários XMRig conectados a vários pools de mineração, incluindo três que não foram detectados como maliciosos.
A empresa de segurança cibernética também descobriu evidências de que, em ataques anteriores, o autor da ameaça usou um rootkit baseado em kernel para ocultar o processo de criptomineração, mas que também fornecia controle total sobre os sistemas infectados.
“As técnicas e ferramentas furtivas e evasivas utilizadas nesta operação tornam a defesa e a detecção mais desafiadoras. Como o objetivo da operação do LabRat é financeiro, tempo é dinheiro. Quanto mais tempo um comprometimento passar despercebido, mais dinheiro o invasor ganhará e mais custará à vítima”, observa Sysdig.
Relacionado:Novo malware hVNC 'Lobshot' usado por cibercriminosos russos
Relacionado:A remoção de repositórios GitHub interrompe as operações de malware RedLine
Relacionado:Novo malware 'Domino' vinculado ao grupo FIN7, ex-membros do Conti
Ionut Arghire é correspondente internacional da SecurityWeek.
Inscreva-se no SecurityWeek Email Briefing para se manter informado sobre as últimas ameaças, tendências e tecnologias, juntamente com colunas esclarecedoras de especialistas do setor.
Junte-se a especialistas em segurança enquanto eles discutem o potencial inexplorado da ZTNA para reduzir o risco cibernético e capacitar os negócios.
Junte-se à Microsoft e à Finite State para um webinar que apresentará uma nova estratégia para proteger a cadeia de fornecimento de software.
Tal como uma equipa de futebol profissional necessita de coordenação, estratégia e adaptabilidade para garantir uma vitória em campo, uma estratégia de cibersegurança abrangente deve abordar desafios e ameaças específicos.(Matt Wilson)

