新的 LABRAT 活动利用 GitLab 缺陷进行加密劫持和代理劫持活动

据观察，一种名为LABRAT的新的、出于经济动机的行动将 GitLab 中现已修补的关键缺陷武器化，作为加密货币劫持和代理劫持活动的一部分。

Sysdig在与 The 分享的一份报告中表示：“攻击者利用未被检测到的基于签名的工具、复杂且隐秘的跨平台恶意软件、绕过防火墙的命令和控制 (C2) 工具以及基于内核的 rootkit 来隐藏其存在。”黑客新闻。

“此外，攻击者滥用合法服务TryCloudflare来混淆他们的 C2 网络。”

代理劫持允许攻击者将受感染的主机出租给代理网络，从而可以利用未使用的带宽获利。另一方面，加密劫持是指滥用系统资源来挖掘加密货币。

该活动的一个值得注意的方面是使用用 Go 和 .NET 编写的编译二进制文件在雷达下飞行，LABRAT 还提供对受感染系统的后门访问。这最终可能为后续攻击、数据盗窃和勒索软件铺平道路。

攻击链始于CVE-2021-22205 （CVSS 评分：10.0）的利用，这是一个远程代码执行漏洞，过去曾被印度尼西亚裔攻击者利用来部署加密货币矿工。

成功入侵后，会从 C2 服务器检索 dropper shell 脚本，该脚本设置持久性，使用系统中找到的 SSH 凭据进行横向移动，并从私有 GitLab 存储库下载其他二进制文件。

Miguel Hernández 表示：“在 LABRAT 操作期间，TryCloudflare 用于将连接重定向到托管恶意 shell 脚本的受密码保护的 Web 服务器。” “使用合法的 TryCloudFlare 基础设施会让防御者很难将子域识别为恶意子域，特别是如果它也用于正常操作的话。”

TryCloudflare 是一款免费工具，可用于创建 Cloudflare 隧道，而无需将站点添加到 Cloudflare 的 DNS。它启动了一个在 trycloudflare.com 上生成随机子域的进程，从而允许内部资源暴露于公共互联网。

这一发展加剧了对cloudflared 的滥用，以建立来自受感染主机的秘密通信通道和对受害者网络的主要访问。

在攻击的第二种变体中，据称攻击者使用 Solr 服务器而不是 TryCloudflare从同一 GitLab 存储库下载PwnKit (CVE-2021-4034)的漏洞以提升权限，同时还下载了另一个不存在的文件。更容易访问。

Dropper 脚本检索到的一些有效负载包括一个名为 Global Socket ( gsocket )的开源实用程序，用于远程访问和通过已知服务（例如 IPRoyal 和 ProxyLite）进行加密劫持和代理劫持的二进制文件。挖掘过程是使用基于内核的 rootkit 隐藏的，该 rootkit 称为hide-cryptominers-linux-rootkit。

还提供了一个基于 Go 的可执行文件，旨在确保持久性并杀死竞争的挖矿进程或其旧版本，以便充分利用机器的资源并最大化其收入。

“由于 LABRAT 运营的目标是财务，所以时间就是金钱，”埃尔南德斯说。“攻击未被发现的时间越长，攻击者赚的钱就越多，受害者付出的代价也越大。”

本文来源于Lonely Blog -全球网络安全资讯平台, 转载请注明出处： https://blog.wuhao13.xin/7771.html