Uma operação com motivação financeira recém-descoberta depende de ferramentas baseadas em assinatura e malware furtivo de plataforma cruzada para permanecer indetectável e abusa do TryCloudflare para ocultar sua infraestrutura de comando e controle (C&C), relata a empresa de segurança em nuvem Sysdig.
Apelidado Rato de laboratório e focada em cryptomining e proxyjacking, a campanha foi vista contando com binários escritos em Go e .NET, rootkits baseados em kernel e ferramentas C&C para contornar firewalls.
Os invasores exploraram o CVE-2021-22205, uma vulnerabilidade de gravidade crítica que afeta o GitLab Community Edition (CE) e Enterprise Edition (EE) versões 11.9 a 13.10.3, 13.9.6 e 13.8.8. Corrigida em abril de 2021, a vulnerabilidade tem uma pontuação CVSS de 10.
O bug leva à execução remota de código não autenticado e, como parte dessa campanha, os invasores o exploraram para implantar um script para obter persistência, eliminar processos específicos para escapar de defesas, baixar binários adicionais e executar movimentos laterais colhendo chaves SSH.
Para ofuscar sua infraestrutura, os invasores criaram subdomínios do serviço TryCloudflare da Cloudflare. Para isso, bastava baixar e instalar o Cloudflared, e rodar um comando específico.
Por meio do TryCloudflare, os invasores redirecionaram as conexões para um servidor protegido por senha que hospedava o script inicial, gerando um novo subdomínio para cada iteração do script.
Como parte da atividade observada, os invasores se conectaram diretamente a um repositório GitLab privado que hospeda vários binários, incluindo alguns carregados recentemente e ainda não detectados pelos serviços antivírus.
Sysdig também descobriu uma variação do ataque, onde um servidor Solr foi usado em vez do TryCloudflare. Apontando para uma página da Web legítima, o servidor provavelmente foi comprometido pelos invasores e abusado como parte da operação.
Os operadores do LabRat também foram vistos usando a ferramenta de código aberto Global Socket (GSocket) – que oferece um relé personalizado ou rede proxy, criptografia e conectividade pela rede Tor – para obter acesso persistente aos sistemas infectados.
Ao investigar os repositórios usados nesta campanha, Sysdig identificou arquivos relacionados a um serviço de proxyware russo chamado ProxyLite[.]ru, bem como binários XMRig conectados a vários pools de mineração, incluindo três que não foram detectados como maliciosos.
A empresa de segurança cibernética também descobriu evidências de que, em ataques anteriores, o agente da ameaça usou um rootkit baseado em kernel para ocultar o processo de criptomineração, mas que também fornecia controle total sobre os sistemas infectados.
“As técnicas e ferramentas furtivas e evasivas usadas nesta operação tornam a defesa e a detecção mais desafiadoras. Como o objetivo da operação do LabRat é financeiro, tempo é dinheiro. Quanto mais tempo um comprometimento não for detectado, mais dinheiro o invasor ganha e mais custará à vítima”, observa Sysdig.
