{"id":908444,"date":"2023-08-17T22:01:56","date_gmt":"2023-08-17T22:01:56","guid":{"rendered":"https:\/\/teknomers.com\/es\/la-nueva-campana-de-labrat-aprovecha-la-falla-de-gitlab-para-actividades-de-cryptojacking-y-proxyjacking\/"},"modified":"2023-08-17T22:01:59","modified_gmt":"2023-08-17T22:01:59","slug":"la-nueva-campana-de-labrat-aprovecha-la-falla-de-gitlab-para-actividades-de-cryptojacking-y-proxyjacking","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/la-nueva-campana-de-labrat-aprovecha-la-falla-de-gitlab-para-actividades-de-cryptojacking-y-proxyjacking\/","title":{"rendered":"La nueva campa\u00f1a de LABRAT aprovecha la falla de GitLab para actividades de cryptojacking y proxyjacking"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">17 de agosto de 2023<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">THN<\/span><\/span><span class=\"p-tags\">Cryptojacking \/ Proxyjacking<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><\/div>\n<p>Una nueva operaci\u00f3n financieramente motivada denominada <strong>RATA DE LABORATORIO<\/strong> se ha observado armando una falla cr\u00edtica ahora parcheada en GitLab como parte de una campa\u00f1a de cryptojacking y proxyjacking.<\/p>\n<p>&#8220;El atacante utiliz\u00f3 herramientas basadas en firmas no detectadas, malware multiplataforma sofisticado y sigiloso, herramientas de comando y control (C2) que sortearon los firewalls y rootkits basados \u200b\u200ben kernel para ocultar su presencia&#8221;, Sysdig <a rel=\"nofollow noopener\" href=\"https:\/\/sysdig.com\/blog\/labrat-cryptojacking-proxyjacking-campaign\/\" target=\"_blank\">dicho<\/a> en un informe compartido con The Hacker News.<\/p>\n<p>&#8220;Adem\u00e1s, el atacante abus\u00f3 de un servicio leg\u00edtimo, <a rel=\"nofollow noopener\" href=\"https:\/\/try.cloudflare.com\/\" target=\"_blank\">PruebaCloudflare<\/a>para ofuscar su red C2&#8243;.<\/p>\n<p>El robo de proxy permite que el atacante alquile el host comprometido a una red proxy, lo que permite monetizar el ancho de banda no utilizado.  Cryptojacking, por otro lado, se refiere al abuso de los recursos del sistema para extraer criptomonedas.<\/p>\n<p>Un aspecto notable de la campa\u00f1a es el uso de binarios compilados escritos en Go y .NET para pasar desapercibidos, y LABRAT tambi\u00e9n brinda acceso de puerta trasera a los sistemas infectados.  En \u00faltima instancia, esto podr\u00eda allanar el camino para ataques de seguimiento, robo de datos y ransomware.<\/p>\n<section class=\"check_two clear badbox\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/edWGl41h\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La seguridad cibern\u00e9tica\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/08\/New-NodeStealer-Targeting-Facebook-Business-Accounts-and-Crypto-Wallets.png\" width=\"728\" height=\"90\"\/><\/a><\/center><\/section>\n<p>Las cadenas de ataque comienzan con la explotaci\u00f3n de <a rel=\"nofollow noopener\" href=\"https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2021-22205\" target=\"_blank\">CVE-2021-22205<\/a> (Puntuaci\u00f3n CVSS: 10.0), una vulnerabilidad de ejecuci\u00f3n remota de c\u00f3digo que ha sido explotada de forma salvaje por actores de origen indonesio en el pasado para implementar criptomineros.<\/p>\n<p>A un ingreso exitoso le sigue la recuperaci\u00f3n de un script de cuentagotas de un servidor C2 que configura la persistencia, realiza un movimiento lateral utilizando las credenciales SSH que se encuentran en el sistema y descarga archivos binarios adicionales de un repositorio privado de GitLab.<\/p>\n<p>\u201cDurante la operaci\u00f3n LABRAT, se utiliz\u00f3 TryCloudflare para redirigir las conexiones a un servidor web protegido con contrase\u00f1a que alojaba un script de shell malicioso\u201d, dijo Miguel Hern\u00e1ndez.  &#8220;El uso de la infraestructura leg\u00edtima de TryCloudFlare puede dificultar que los defensores identifiquen los subdominios como maliciosos, especialmente si tambi\u00e9n se usa en operaciones normales&#8221;.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/08\/1692309715_325_La-nueva-campana-de-LABRAT-aprovecha-la-falla-de-GitLab.jpg\" alt=\"\" border=\"0\" data-original-height=\"236\" data-original-width=\"728\"\/><\/div>\n<p>TryCloudflare es un <a rel=\"nofollow noopener\" href=\"https:\/\/developers.cloudflare.com\/cloudflare-one\/connections\/connect-networks\/do-more-with-tunnels\/trycloudflare\/\" target=\"_blank\">herramienta gratuita<\/a> que se puede usar para crear un t\u00fanel de Cloudflare sin agregar un sitio al DNS de Cloudflare.  Inicia un proceso que genera un subdominio aleatorio en trycloudflare.com, lo que permite que los recursos internos est\u00e9n expuestos al p\u00fablico en Internet.<\/p>\n<section class=\"check_two clear badbox\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/Cr7gkMdK\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La seguridad cibern\u00e9tica\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/08\/China039s-APT31-Suspected-in-Attacks-on-Air-Gapped-Systems-in-Eastern.gif\" width=\"728\" height=\"90\"\/><\/a><\/center><\/section>\n<p>El desarrollo se suma al abuso de cloudflared para establecer canales de comunicaci\u00f3n encubiertos desde hosts comprometidos y el acceso principal a las redes de las v\u00edctimas.<\/p>\n<p>En una segunda variante del ataque, se dice que el adversario us\u00f3 un servidor Solr en lugar de TryCloudflare para descargar un exploit para PwnKit (CVE-2021-4034) desde el mismo repositorio de GitLab para elevar los privilegios, junto con otro archivo que no es m\u00e1s accesible.<\/p>\n<p>Algunas de las cargas \u00fatiles recuperadas por el script cuentagotas incluyen una utilidad de c\u00f3digo abierto conocida como Global Socket (<a rel=\"nofollow noopener\" href=\"https:\/\/www.gsocket.io\/\" target=\"_blank\">gsocket<\/a>) para acceso remoto y binarios para realizar cryptojacking y proxyjacking a trav\u00e9s de servicios conocidos como IPRoyal y ProxyLite.  El proceso de miner\u00eda se oculta utilizando un rootkit basado en kernel llamado <a rel=\"nofollow noopener\" href=\"https:\/\/github.com\/alfonmga\/hiding-cryptominers-linux-rootkit\" target=\"_blank\">ocultar-cryptominers-linux-rootkit<\/a>.<\/p>\n<p>Tambi\u00e9n se entrega un ejecutable basado en Go dise\u00f1ado para garantizar la persistencia y eliminar los procesos de miner\u00eda de la competencia o versiones anteriores de s\u00ed mismo para aprovechar al m\u00e1ximo los recursos de la m\u00e1quina y maximizar sus ganancias.<\/p>\n<p>\u201cComo el objetivo de la operaci\u00f3n LABRAT es financiero, el tiempo es dinero\u201d, dijo Hern\u00e1ndez.  &#8220;Cuanto m\u00e1s tiempo pase sin ser detectado un compromiso, m\u00e1s dinero gana el atacante y m\u00e1s le costar\u00e1 a la v\u00edctima&#8221;.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">\u00bfEncontraste este art\u00edculo interesante?  Siga con nosotros <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gorjeo <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  y <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2023\/08\/new-labrat-campaign-exploits-gitlab.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80217 de agosto de 2023\ue804THNCryptojacking \/ Proxyjacking Una nueva operaci\u00f3n financieramente motivada denominada RATA DE LABORATORIO se ha<\/p>\n","protected":false},"author":1,"featured_media":908445,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[11585,4657,4656,6132,4661,3372,4664,120459,2503,4662,16854,4668,200204,4667,4654,4658,4659,4653,4655,212,18,4663,171883,4666,4665,4660],"class_list":["post-908444","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-actividades","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-aprovecha","tag-ataques-ciberneticos","tag-campana","tag-como-hackear","tag-cryptojacking","tag-falla","tag-filtracion-de-datos","tag-gitlab","tag-la-seguridad-informatica","tag-labrat","tag-las-noticias-de-los-hackers","tag-noticias-ciberneticas","tag-noticias-de-hackers","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-noticias-de-seguridad-cibernetica-hoy","tag-nueva","tag-para","tag-programa-malicioso-ransomware","tag-proxyjacking","tag-seguridad-de-informacion","tag-seguridad-de-la-red","tag-vulnerabilidad-de-software"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/908444","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=908444"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/908444\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/908445"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=908444"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=908444"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=908444"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}