Хакеры промышляют крипто- и проксиджекингом в рамках операции LABRAT

[Artifact]

Киберпреступники скомпрометировали множество хостов через двухлетнюю дыру в системе безопасности.
Как сообщила Sysdig в своём вчерашнем отчёте , недавно специалистами компании была выявлена новая финансово мотивированная операция под названием LABRAT, в рамках которой злоумышленники использовали критическую уязвимость GitLab двухлетней давности в целях криптоджекинга и проксиджекинга.
«Хакеры применили инструменты, основанные на сигнатурах, сложные и скрытные вредоносные программы, средства управления и контроля, которые обходили брандмауэры, а также руткиты на базе ядра для сокрытия своего присутствия», — сообщили исследователи.
Проксиджекинг позволяет атакующему сдавать в аренду скомпрометированный хост в прокси-сеть, чтобы монетизировать неиспользуемую пропускную способность. Криптоджекинг подразумевает использование системных ресурсов для майнинга криптовалюты.
Отличительной особенностью кампании является использование скомпилированных бинарных файлов на Go и .NET для обхода систем обнаружения. LABRAT также функционирует как бэкдор на инфицированных системах, что может проложить путь для последующих атак, кражи данных и вымогательства.
Атака начинается с эксплуатации критической уязвимости CVE-2021-22205 с оценкой CVSS 10 баллов. Как можно заметить по идентификатору, она была выявлена в 2021 году и вскоре исправлена компанией GitLab. Однако некоторые разработчики до сих пор не обновили свои экземпляры программного обеспечения, став новыми жертвами хакеров.
Успешное проникновение сопровождается получением скрипта-дроппера от C2-сервера. Дроппер обеспечивает постоянство в целевой системе, проводит боковое перемещение с использованием учётных данных SSH, найденных там же, и загружает дополнительные бинарники из приватного репозитория GitLab.
Сервис TryCloudflare также является важным элементом вредоносной операции. Он используется для установления скрытых каналов связи со скомпрометированных хостов.
Некоторые из полезных нагрузок, используемых в данной кампании, включают утилиту «gsocket» для удалённого доступа, а также бинарники для криптоджекинга и проксиджекинга через известные сервисы IPRoyal и ProxyLite. Процесс майнинга скрыт с помощью руткита ядра «hiding-cryptominers-linux-rootkit».
Таким образом, хакеры весьма изощренно воспользовались старой уязвимостью GitLab для проведения противоправных действий с целью финансовой наживы. Компания призвала пользователей незамедлительно обновить свои экземпляры GitLab до последних версий, если они по какой-то причине до сих пор этого не сделали.