Chiến dịch LABRAT sử dụng lỗ hổng trong GitLab để tấn công Cryptojacking và Proxyjacking

0
0

 - Gần đây, chiến dịch tấn công mạng LABRAT đã bị phát hiện với động cơ tài chính, bằng cách khai thác lỗ hổng Nghiêm trọng tồn tại trên GitLab trong chiến dịch tấn công Cryptojacking và Proxyjacking.

Theo chuyên gia bảo mật, đối tượng tấn công sử dụng Signature - Based, phần mềm độc hại đa nền tảng, công cụ C&C vượt qua tường lửa và rootkit dựa trên kernel để che giấu sự hiện diện của mình. Đối với máy chủ C&C, đối tượng tấn công lạm dụng dịch vụ của TryCloudflare để che giấu đi máy chủ.

Hình thức tấn công Proxyjacking cho phép đối tượng tấn công thuê một máy chủ bị xâm nhập trên mạng proxy, từ đó kiếm được tiền từ băng thông không sử dụng. Cryptojacking là hình thức tấn công cho phép đối tượng sử dụng các tài nguyên hệ thống để phục vụ tác vụ đào tiền ảo.

Một điểm đáng chú ý của chiến dịch là việc sử dụng các tệp nhị phân được viết bằng Go và .NET để tránh bị phát hiện, kết hợp thêm khả năng cung cấp truy cập backdoor của LABRAT. Qua đó mở ra hướng đi cho các cuộc tấn công tiếp theo, đánh cắp dữ liệu và thực hiện tấn công ransomware.

 

Chuỗi tấn công bắt đầu bằng việc khai thác lỗ hổng CVE-2021-22205 (Điểm CVSS: 10) cho phép đối tượng tấn công thực thi mã từ xa đã và đang được sử dụng để triển khai bộ đào tiền ảo. Khi xâm nhập thành công, một tệp script dropper shell sẽ được tải về từ máy chủ C&C nhằm thiết lập tính liên tục, thực hiện leo thang đặc quyền và tải thêm các tệp nhị phân bổ trợ từ kho dữ liệu riêng tư của GitLab.

Trong chiến dịch LABRAT, đối tượng tấn công đã sử dụng dịch vụ TryCloudflare để điều hướng kết nối tới một web server chứa tệp script shell độc hại. TryCloudflare là một công cụ miễn phí dùng để tạo một Cloudflare Tunnel mà không yêu cầu thêm trang web vào DNS của Cloudflare. Nó khởi chạy một tiến trình tạo ra các subdomain ngẫu nhiên trên trycloudflare.com, qua đó công khai tài nguyên chưa sử dụng lên mạng internet công khai.

Sự phát triển này làm gia tăng việc lạm dụng dịch vụ Clouflare để triển khai các kênh liên lạc kín từ máy chủ bị xâm nhập và quyền truy cập chính tới mạng của nạn nhân.

Trong biến thể thứ hai của cuộc tấn công, đối tượng tấn công đã sử dụng máy chủ Solr thay vì TryCloudflare để tải xuống một bản khai thác cho PwnKit (CVE-2021-4034) từ kho dữ liệu GitLab nhằm leo thang đặc quyền.

Một số payload tải xuống bởi script dropper gồm có tiện ích mã nguồn Global Socker để tạo kết nối từ xa, cùng với các tệp nhị phân thực hiện Cryptojacking, Proxyjacking thông qua dịch vụ IPRoyal và ProxyLite. Quá trình đào tiền ảo được che giấu bởi rookit trên kernel với tên “hiding-cryptominers-linux-rootkit”.

Ngoài ra, còn có một tệp thực thi dựa trên ngôn ngữ lập trình Go, được thiết kế để duy trì kết nối và tắt tiến trình hoặc phiên bản cũ hơn của chính nó, nhằm tối ưu hóa việc sử dụng tài nguyên của thiết bị cho việc khai thác tiền ảo.

PV


Ý kiến bạn đọc


Lời cảm ơn của gia đình Tổng Bí thư Nguyễn Phú Trọng

Chiều 26/7, ông Nguyễn Trọng Trường, đại diện gia đình Tổng Bí thư Nguyễn Phú Trọng đọc Lời cảm ơn của gia đình Tổng Bí thư tại Lễ Truy điệu.

Bức tâm thư của Phu nhân Tổng Bí thư Lào gửi Phu nhân Tổng Bí thư

(VnMedia) - VnMedia xin đăng tải toàn văn bức tâm thư của Phu nhân Tổng Bí thư Lào Naly Sisoulith gửi Phu nhân Tổng Bí thư Nguyễn Phú Trọng, Ngô Thị Mận.

Nhớ về một người Cộng sản chân chính

(VnMedia)- Mỗi khi nghĩ về Tổng Bí thư Nguyễn Phú Trọng là trong tôi hiện lên hình ảnh một người Cộng sản chân chính. Và, lúc này, tôi lại nhớ đến câu chuyện mẹ tôi vẫn kể trong những năm tháng bà còn sống về cha tôi - một người Cộng sản...

Cảnh báo chiêu trò lừa đảo tuyển người mẫu, cầu thủ nhí trên không gian mạng

(VnMedia) - Bộ Công an vừa phát đi cảnh báo về chiêu trò lừa đảo tuyển mẫu nhí, cầu thủ nhí, người đại diện thương hiệu nhằm chiếm đoạt tài sản qua không gian mạng.

Giá vàng đảo chiều tăng mạnh

(VnMedia) - Chốt phiên giao dịch rạng sáng nay (24/7), giá vàng giao ngay tại thị trường New York đã đảo chiều tăng mạnh hơn 13 USD/ounce. Trong nước, chiều qua, giá vàng miếng SJC vẫn duy trì ở mốc gần 80 triệu đồng/lượng ở chiều bán ra.