Новости Лабораторные крысы атакуют GitLab: хакеры промышляют крипто- и проксиджекингом в рамках операции LABRAT

NewsMaker

I'm just a script
Премиум
13,579
20
8 Ноя 2022
Киберпреступники скомпрометировали множество хостов через двухлетнюю дыру в системе безопасности.


b313yfnn87qb43i7hklkrdewq9yscn64.jpg


Как сообщила Sysdig в своём Для просмотра ссылки Войди или Зарегистрируйся , недавно специалистами компании была выявлена новая финансово мотивированная операция под названием LABRAT, в рамках которой злоумышленники использовали критическую уязвимость GitLab двухлетней давности в целях криптоджекинга и проксиджекинга .

«Хакеры применили инструменты, основанные на сигнатурах, сложные и скрытные вредоносные программы, средства управления и контроля, которые обходили брандмауэры, а также руткиты на базе ядра для сокрытия своего присутствия», — сообщили исследователи.

Проксиджекинг позволяет атакующему сдавать в аренду скомпрометированный хост в прокси-сеть, чтобы монетизировать неиспользуемую пропускную способность. Криптоджекинг подразумевает использование системных ресурсов для майнинга криптовалюты.

Отличительной особенностью кампании является использование скомпилированных бинарных файлов на Go и .NET для обхода систем обнаружения. LABRAT также функционирует как бэкдор на инфицированных системах, что может проложить путь для последующих атак, кражи данных и вымогательства.

Атака начинается с эксплуатации критической уязвимости Для просмотра ссылки Войди или Зарегистрируйся с оценкой CVSS 10 баллов. Как можно заметить по идентификатору, она была выявлена в 2021 году и вскоре исправлена компанией GitLab. Однако некоторые разработчики до сих пор не обновили свои экземпляры программного обеспечения, став новыми жертвами хакеров.

Успешное проникновение сопровождается получением скрипта-дроппера от C2-сервера . Дроппер обеспечивает постоянство в целевой системе, проводит боковое перемещение с использованием учётных данных SSH , найденных там же, и загружает дополнительные бинарники из приватного репозитория GitLab.

Сервис TryCloudflare также является важным элементом вредоносной операции. Он используется для установления скрытых каналов связи со скомпрометированных хостов.

Некоторые из полезных нагрузок, используемых в данной кампании, включают утилиту «gsocket» для удалённого доступа, а также бинарники для криптоджекинга и проксиджекинга через известные сервисы IPRoyal и ProxyLite. Процесс майнинга скрыт с помощью руткита ядра «hiding-cryptominers-linux-rootkit».

Таким образом, хакеры весьма изощренно воспользовались старой уязвимостью GitLab для проведения противоправных действий с целью финансовой наживы. Компания призвала пользователей незамедлительно обновить свои экземпляры GitLab до последних версий, если они по какой-то причине до сих пор этого не сделали.
 
Источник новости
www.securitylab.ru

Похожие темы