Une nouvelle opération financièrement motivée baptisée RAT DE LABORATOIRE a été observé en train de militariser une faille critique désormais corrigée dans GitLab dans le cadre d’une campagne de cryptojacking et de proxyjacking.
« L’attaquant a utilisé des outils basés sur des signatures non détectés, des logiciels malveillants multiplateformes sophistiqués et furtifs, des outils de commande et de contrôle (C2) qui contournaient les pare-feu et des rootkits basés sur le noyau pour masquer leur présence », a déclaré Sysdig. dit dans un rapport partagé avec The Hacker News.
« De plus, l’attaquant a abusé d’un service légitime, EssayerCloudflarepour obscurcir leur réseau C2. »
Le proxyjacking permet à l’attaquant de louer l’hôte compromis à un réseau proxy, ce qui permet de monétiser la bande passante inutilisée. Le cryptojacking, quant à lui, fait référence à l’abus des ressources système pour exploiter la crypto-monnaie.
Un aspect notable de la campagne est l’utilisation de binaires compilés écrits en Go et .NET pour voler sous le radar, LABRAT fournissant également un accès par porte dérobée aux systèmes infectés. Cela pourrait finalement ouvrir la voie à des attaques ultérieures, à des vols de données et à des rançongiciels.
Les chaînes d’attaque commencent par l’exploitation de CVE-2021-22205 (score CVSS : 10,0), une vulnérabilité d’exécution de code à distance qui a été exploitée à l’état sauvage par des acteurs d’origine indonésienne dans le passé pour déployer des crypto-mineurs.
Une effraction réussie est suivie de la récupération d’un script shell dropper à partir d’un serveur C2 qui configure la persistance, effectue un mouvement latéral à l’aide des informations d’identification SSH trouvées dans le système et télécharge des fichiers binaires supplémentaires à partir d’un référentiel GitLab privé.
« Au cours de l’opération LABRAT, TryCloudflare a été utilisé pour rediriger les connexions vers un serveur Web protégé par mot de passe qui hébergeait un script shell malveillant », a déclaré Miguel Hernández. « L’utilisation de l’infrastructure TryCloudFlare légitime peut rendre difficile pour les défenseurs d’identifier les sous-domaines comme malveillants, surtout s’ils sont également utilisés dans des opérations normales. »
TryCloudflare est un outil gratuit qui peut être utilisé pour créer un tunnel Cloudflare sans ajouter de site au DNS de Cloudflare. Il lance un processus qui génère un sous-domaine aléatoire sur trycloudflare.com, permettant ainsi aux ressources internes d’être exposées à l’Internet public.
Le développement ajoute à l’abus de cloudflared pour établir des canaux de communication secrets à partir d’hôtes compromis et un accès principal aux réseaux des victimes.
Dans une deuxième variante de l’attaque, l’adversaire aurait utilisé un serveur Solr au lieu de TryCloudflare pour télécharger un exploit pour le PwnKit (CVE-2021-4034) à partir du même référentiel GitLab afin d’élever les privilèges, ainsi qu’un autre fichier qui n’est pas plus accessible.
Certaines des charges utiles récupérées par le script dropper incluent un utilitaire open source appelé Global Socket (gsocket) pour l’accès à distance et les binaires pour effectuer le cryptojacking et le proxyjacking via des services connus tels que IPRoyal et ProxyLite. Le processus d’extraction est dissimulé à l’aide d’un rootkit basé sur le noyau appelé cache-cryptominers-linux-rootkit.
Un exécutable basé sur Go est également livré, conçu pour assurer la persistance et tuer les processus de minage concurrents ou les anciennes versions de lui-même afin d’exploiter pleinement les ressources de la machine et de maximiser leurs revenus.
« Puisque l’objectif de l’opération LABRAT est financier, le temps c’est de l’argent », a déclaré Hernández. « Plus un compromis reste longtemps non détecté, plus l’attaquant gagne d’argent et plus cela coûtera cher à la victime. »