- Gần đây, chiến dịch tấn công mạng LABRAT đã bị phát hiện với động cơ tài chính, bằng cách khai thác lỗ hổng Nghiêm trọng tồn tại trên GitLab trong chiến dịch tấn công Cryptojacking và Proxyjacking.
Theo chuyên gia bảo mật, đối tượng tấn công sử dụng Signature - Based, phần mềm độc hại đa nền tảng, công cụ C&C vượt qua tường lửa và rootkit dựa trên kernel để che giấu sự hiện diện của mình. Đối với máy chủ C&C, đối tượng tấn công lạm dụng dịch vụ của TryCloudflare để che giấu đi máy chủ.
Hình thức tấn công Proxyjacking cho phép đối tượng tấn công thuê một máy chủ bị xâm nhập trên mạng proxy, từ đó kiếm được tiền từ băng thông không sử dụng. Cryptojacking là hình thức tấn công cho phép đối tượng sử dụng các tài nguyên hệ thống để phục vụ tác vụ đào tiền ảo.
Một điểm đáng chú ý của chiến dịch là việc sử dụng các tệp nhị phân được viết bằng Go và .NET để tránh bị phát hiện, kết hợp thêm khả năng cung cấp truy cập backdoor của LABRAT. Qua đó mở ra hướng đi cho các cuộc tấn công tiếp theo, đánh cắp dữ liệu và thực hiện tấn công ransomware.
Chuỗi tấn công bắt đầu bằng việc khai thác lỗ hổng CVE-2021-22205 (Điểm CVSS: 10) cho phép đối tượng tấn công thực thi mã từ xa đã và đang được sử dụng để triển khai bộ đào tiền ảo. Khi xâm nhập thành công, một tệp script dropper shell sẽ được tải về từ máy chủ C&C nhằm thiết lập tính liên tục, thực hiện leo thang đặc quyền và tải thêm các tệp nhị phân bổ trợ từ kho dữ liệu riêng tư của GitLab.
Trong chiến dịch LABRAT, đối tượng tấn công đã sử dụng dịch vụ TryCloudflare để điều hướng kết nối tới một web server chứa tệp script shell độc hại. TryCloudflare là một công cụ miễn phí dùng để tạo một Cloudflare Tunnel mà không yêu cầu thêm trang web vào DNS của Cloudflare. Nó khởi chạy một tiến trình tạo ra các subdomain ngẫu nhiên trên trycloudflare.com, qua đó công khai tài nguyên chưa sử dụng lên mạng internet công khai.
Sự phát triển này làm gia tăng việc lạm dụng dịch vụ Clouflare để triển khai các kênh liên lạc kín từ máy chủ bị xâm nhập và quyền truy cập chính tới mạng của nạn nhân.
Trong biến thể thứ hai của cuộc tấn công, đối tượng tấn công đã sử dụng máy chủ Solr thay vì TryCloudflare để tải xuống một bản khai thác cho PwnKit (CVE-2021-4034) từ kho dữ liệu GitLab nhằm leo thang đặc quyền.
Một số payload tải xuống bởi script dropper gồm có tiện ích mã nguồn Global Socker để tạo kết nối từ xa, cùng với các tệp nhị phân thực hiện Cryptojacking, Proxyjacking thông qua dịch vụ IPRoyal và ProxyLite. Quá trình đào tiền ảo được che giấu bởi rookit trên kernel với tên “hiding-cryptominers-linux-rootkit”.
Ngoài ra, còn có một tệp thực thi dựa trên ngôn ngữ lập trình Go, được thiết kế để duy trì kết nối và tắt tiến trình hoặc phiên bản cũ hơn của chính nó, nhằm tối ưu hóa việc sử dụng tài nguyên của thiết bị cho việc khai thác tiền ảo.
PV