19.08.2023 | Лабораторные крысы атакуют GitLab: хакеры промышляют крипто- и проксиджекингом в рамках операции LABRAT |
Как сообщила Sysdig в своём вчерашнем отчёте , недавно специалистами компании была выявлена новая финансово мотивированная операция под названием LABRAT, в рамках которой злоумышленники использовали критическую уязвимость GitLab двухлетней давности в целях криптоджекинга и проксиджекинга . «Хакеры применили инструменты, основанные на сигнатурах, сложные и скрытные вредоносные программы, средства управления и контроля, которые обходили брандмауэры, а также руткиты на базе ядра для сокрытия своего присутствия», — сообщили исследователи. Проксиджекинг позволяет атакующему сдавать в аренду скомпрометированный хост в прокси-сеть, чтобы монетизировать неиспользуемую пропускную способность. Криптоджекинг подразумевает использование системных ресурсов для майнинга криптовалюты. Отличительной особенностью кампании является использование скомпилированных бинарных файлов на Go и .NET для обхода систем обнаружения. LABRAT также функционирует как бэкдор на инфицированных системах, что может проложить путь для последующих атак, кражи данных и вымогательства. Атака начинается с эксплуатации критической уязвимости CVE-2021-22205 с оценкой CVSS 10 баллов. Как можно заметить по идентификатору, она была выявлена в 2021 году и вскоре исправлена компанией GitLab. Однако некоторые разработчики до сих пор не обновили свои экземпляры программного обеспечения, став новыми жертвами хакеров. Успешное проникновение сопровождается получением скрипта-дроппера от C2-сервера . Дроппер обеспечивает постоянство в целевой системе, проводит боковое перемещение с использованием учётных данных SSH , найденных там же, и загружает дополнительные бинарники из приватного репозитория GitLab. Сервис TryCloudflare также является важным элементом вредоносной операции. Он используется для установления скрытых каналов связи со скомпрометированных хостов. Некоторые из полезных нагрузок, используемых в данной кампании, включают утилиту «gsocket» для удалённого доступа, а также бинарники для криптоджекинга и проксиджекинга через известные сервисы IPRoyal и ProxyLite. Процесс майнинга скрыт с помощью руткита ядра «hiding-cryptominers-linux-rootkit». Таким образом, хакеры весьма изощренно воспользовались старой уязвимостью GitLab для проведения противоправных действий с целью финансовой наживы. Компания призвала пользователей незамедлительно обновить свои экземпляры GitLab до последних версий, если они по какой-то причине до сих пор этого не сделали. |
Проверить безопасность сайта