Una recente campagna malevola, chiamata LABRAT, ha sfruttato una grave vulnerabilità in GitLab per lanciare attacchi di cryptojacking e proxyjacking. Questa campagna ha utilizzato strumenti sofisticati e malware trasversali per rimanere nascosta e bypassare le difese.
Dettagli dell’attacco
LABRAT ha utilizzato strumenti basati su firme non rilevati, malware trasversali sofisticati, strumenti di comando e controllo (C2) che hanno eluso i firewall e rootkit basati su kernel per nascondere la loro presenza. Inoltre, l’attaccante ha abusato di un servizio legittimo, TryCloudflare, per offuscare la loro rete C2. Il proxyjacking permette all’attaccante di affittare l’host compromesso a una rete proxy, monetizzando la larghezza di banda inutilizzata. Il cryptojacking, invece, abusa delle risorse del sistema per estrarre criptovalute.
Metodologia dell’attacco
Una caratteristica notevole della campagna è l’uso di binari compilati scritti in Go e .NET per rimanere sotto il radar. LABRAT fornisce anche un accesso backdoor ai sistemi infettati, che potrebbe aprire la strada a ulteriori attacchi, furti di dati e ransomware. L’attacco inizia con lo sfruttamento della vulnerabilità CVE-2021-22205, una vulnerabilità di esecuzione di codice remoto. Una volta ottenuto l’accesso, viene recuperato uno script dropper da un server C2 che stabilisce la persistenza, effettua movimenti laterali utilizzando le credenziali SSH trovate nel sistema e scarica ulteriori binari da un repository GitLab privato.
Uso di TryCloudflare
Durante l’operazione LABRAT, TryCloudflare è stato utilizzato per reindirizzare le connessioni a un server web protetto da password che ospitava uno script malevolo. L’uso dell’infrastruttura legittima di TryCloudFlare può rendere difficile per i difensori identificare i sottodomini come malevoli. TryCloudflare è uno strumento gratuito che può essere utilizzato per creare un tunnel Cloudflare senza aggiungere un sito al DNS di Cloudflare.
Conclusione
L’obiettivo principale dell’operazione LABRAT è finanziario. “Più a lungo una compromissione rimane non rilevata, più soldi guadagna l’attaccante e più costerà alla vittima”, ha dichiarato Hernández.