Исследователи кибербезопасности из Sysdig опубликовали отчёт о новой атаке LABRAT. Хакеры взламывают подверженные ранее раскрытой уязвимости серверы GitLab, чтобы заниматься проксиджекингом и криптоджекингом.
Первый вектор атаки основан на перехвате легитимных прокси-сервисов путём компрометации контейнера в облачной среде. Злоумышленники устанавливают прокси-клиент, который превращает систему в прокси-сервер без ведома владельца.
При втором типе атаки киберпреступники взламывают устройства и устанавливают программы, которые работают в фоновом режиме, добывая криптовалюту или воруя её из криптокошельков.
LABRAT развёртывает кросс-платформенные вредоносные программы, использует руткиты ядра и многочисленные методы запутывания. По словам исследователей, хакеры работают «гораздо более изощрённо, что усложняют защиту и обнаружение».
Так, хакеры используют уязвимость CVE-2021-22205 с рейтингом 10. Ей уже два года. Уязвимость обнаруживалась в трёх разных версиях GitLab — 13.8.8, 13.9.6 и 13.10.3, а патч вышел в апреле 2021 года. Однако многие пользователи не обновили свои системы.
Также хакеры применяют скомпилированные бинарные файлы на Go и .NET для обхода систем обнаружения. Они получают скрипт-дроппер от C2-сервера, который обеспечивает постоянство в целевой системе, проводит боковое перемещение с использованием учётных данных SSH и загружает фвйлы из приватного репозитория GitLab.
Сервис TryCloudflare используется хакерами для установления скрытых каналов связи со скомпрометированных хостов.
На атакованном устройстве запускаются утилита «gsocket» для удалённого доступа, а также бинарники для криптоджекинга и проксиджекинга через сервисы IPRoyal и ProxyLite. Процесс майнинга позволяет скрыть руткит ядра «hiding-cryptominers-linux-rootkit».
О масштабах кампании и её успешности пока не сообщается.
Ранее CSRB представила отчёт о работе группировки Lapsus$ против организаций, применяющих надёжные меры безопасности. Выяснилось, что группа применяла подмену SIM-карт, чтобы получить доступ к внутренней сети компании и похитить конфиденциальную информацию.
Источник новости: habr.com
