banner
Lar / blog / Campanha furtiva ‘LabRat’ abusa do TryCloudflare para ocultar infraestrutura
blog

Campanha furtiva ‘LabRat’ abusa do TryCloudflare para ocultar infraestrutura

Jan 18, 2024Jan 18, 2024

A operação de criptomineração e proxyjacking ‘LabRat’ depende de ferramentas baseadas em assinaturas e malware furtivo de plataforma cruzada, e abusa do TryCloudflare para ocultar seus C&Cs.

Por

Flipboard

Reddit

Pinterest

Whatsapp

Whatsapp

E-mail

Uma operação recém-descoberta com motivação financeira depende de ferramentas baseadas em assinaturas e malware furtivo de plataforma cruzada para permanecer sem detecção e abusa do TryCloudflare para ocultar sua infraestrutura de comando e controle (C&C), relata a empresa de segurança em nuvem Sysdig.

Chamada de LabRat e focada em criptomineração e proxyjacking, a campanha foi vista contando com binários escritos em Go e .NET, rootkits baseados em kernel e ferramentas C&C para contornar firewalls.

Os invasores exploraram CVE-2021-22205, uma vulnerabilidade de gravidade crítica que afeta as versões 11.9 a 13.10.3, 13.9.6 e 13.8.8 do GitLab Community Edition (CE) e Enterprise Edition (EE). Corrigida em abril de 2021, a vulnerabilidade tem uma pontuação CVSS de 10.

O bug leva à execução remota de código não autenticado e, como parte desta campanha, os invasores o exploraram para implantar um script para obter persistência, eliminar processos específicos para escapar das defesas, baixar binários adicionais e realizar movimentos laterais coletando chaves SSH.

Para ofuscar sua infraestrutura, os invasores criaram subdomínios do serviço TryCloudflare da Cloudflare. Para isso, bastava baixar e instalar o Cloudflared e executar um comando específico.

Através do TryCloudflare, os invasores redirecionaram as conexões para um servidor protegido por senha que hospedava o script inicial, gerando um novo subdomínio para cada iteração do script.

Como parte da atividade observada, os invasores se vincularam diretamente a um repositório privado do GitLab que hospeda vários binários, incluindo alguns carregados lá recentemente e ainda não detectados pelos serviços antivírus.

A Sysdig também descobriu uma variação do ataque, onde um servidor Solr foi usado em vez do TryCloudflare. Apontando para uma página legítima, o servidor provavelmente foi comprometido pelos invasores e abusado como parte da operação.

Os operadores do LabRat também foram vistos usando a ferramenta de código aberto Global Socket (GSocket) – que oferece uma rede de retransmissão ou proxy personalizada, criptografia e conectividade através da rede Tor – para obter acesso persistente aos sistemas infectados.

Ao investigar os repositórios usados ​​nesta campanha, a Sysdig identificou arquivos relacionados a um serviço de proxyware russo chamado ProxyLite[.]ru, bem como binários XMRig conectados a vários pools de mineração, incluindo três que não foram detectados como maliciosos.

A empresa de segurança cibernética também descobriu evidências de que, em ataques anteriores, o autor da ameaça usou um rootkit baseado em kernel para ocultar o processo de criptomineração, mas que também fornecia controle total sobre os sistemas infectados.

“As técnicas e ferramentas furtivas e evasivas utilizadas nesta operação tornam a defesa e a detecção mais desafiadoras. Como o objetivo da operação do LabRat é financeiro, tempo é dinheiro. Quanto mais tempo um comprometimento passar despercebido, mais dinheiro o invasor ganhará e mais custará à vítima”, observa Sysdig.

Relacionado:Novo malware hVNC 'Lobshot' usado por cibercriminosos russos

Relacionado:A remoção de repositórios GitHub interrompe as operações de malware RedLine

Relacionado:Novo malware 'Domino' vinculado ao grupo FIN7, ex-membros do Conti

Ionut Arghire é correspondente internacional da SecurityWeek.

Inscreva-se no SecurityWeek Email Briefing para se manter informado sobre as últimas ameaças, tendências e tecnologias, juntamente com colunas esclarecedoras de especialistas do setor.

Junte-se a especialistas em segurança enquanto eles discutem o potencial inexplorado da ZTNA para reduzir o risco cibernético e capacitar os negócios.

Junte-se à Microsoft e à Finite State para um webinar que apresentará uma nova estratégia para proteger a cadeia de fornecimento de software.

Tal como uma equipa de futebol profissional necessita de coordenação, estratégia e adaptabilidade para garantir uma vitória em campo, uma estratégia de cibersegurança abrangente deve abordar desafios e ameaças específicos.(Matt Wilson)