Лабораторные крысы атакуют GitLab: хакеры промышляют крипто- и проксиджекингом в рамках операции LABRAT

Лабораторные крысы атакуют GitLab: хакеры промышляют крипто- и проксиджекингом в рамках операции LABRAT

Киберпреступники скомпрометировали множество хостов через двухлетнюю дыру в системе безопасности.

image

Как сообщила Sysdig в своём вчерашнем отчёте , недавно специалистами компании была выявлена новая финансово мотивированная операция под названием LABRAT, в рамках которой злоумышленники использовали критическую уязвимость GitLab двухлетней давности в целях криптоджекинга и проксиджекинга.

«Хакеры применили инструменты, основанные на сигнатурах, сложные и скрытные вредоносные программы, средства управления и контроля, которые обходили брандмауэры, а также руткиты на базе ядра для сокрытия своего присутствия», — сообщили исследователи.

Проксиджекинг позволяет атакующему сдавать в аренду скомпрометированный хост в прокси-сеть, чтобы монетизировать неиспользуемую пропускную способность. Криптоджекинг подразумевает использование системных ресурсов для майнинга криптовалюты.

Отличительной особенностью кампании является использование скомпилированных бинарных файлов на Go и .NET для обхода систем обнаружения. LABRAT также функционирует как бэкдор на инфицированных системах, что может проложить путь для последующих атак, кражи данных и вымогательства.

Атака начинается с эксплуатации критической уязвимости CVE-2021-22205 с оценкой CVSS 10 баллов. Как можно заметить по идентификатору, она была выявлена в 2021 году и вскоре исправлена компанией GitLab. Однако некоторые разработчики до сих пор не обновили свои экземпляры программного обеспечения, став новыми жертвами хакеров.

Успешное проникновение сопровождается получением скрипта-дроппера от C2-сервера. Дроппер обеспечивает постоянство в целевой системе, проводит боковое перемещение с использованием учётных данных SSH, найденных там же, и загружает дополнительные бинарники из приватного репозитория GitLab.

Сервис TryCloudflare также является важным элементом вредоносной операции. Он используется для установления скрытых каналов связи со скомпрометированных хостов.

Некоторые из полезных нагрузок, используемых в данной кампании, включают утилиту «gsocket» для удалённого доступа, а также бинарники для криптоджекинга и проксиджекинга через известные сервисы IPRoyal и ProxyLite. Процесс майнинга скрыт с помощью руткита ядра «hiding-cryptominers-linux-rootkit».

Таким образом, хакеры весьма изощренно воспользовались старой уязвимостью GitLab для проведения противоправных действий с целью финансовой наживы. Компания призвала пользователей незамедлительно обновить свои экземпляры GitLab до последних версий, если они по какой-то причине до сих пор этого не сделали.

Ньютон уронил яблоко. Мы роняем челюсти!

Гравитация научных фактов сильнее, чем вы думаете

Подпишитесь и испытайте интеллектуальное падение