Nueva campaña LABRAT explota falla de GitLab para actividades de cryptojacking

Se ha observado que una nueva operación motivada financieramente llamada LABRAT arma una falla crítica ahora parcheada en GitLab como parte de una campaña de cryptojacking y proxyjacking.

"El atacante utilizó herramientas basadas en firmas no detectadas, malware multiplataforma sofisticado y sigiloso, herramientas de comando y control (C2) que eludieron los firewalls y rootkits basados en kernel para ocultar su presencia", dijo Sysdig en un informe compartido con The Hacker News.

"Además, el atacante abusó de un servicio legítimo, TryCloudflare, para ofuscar su red C2".

Proxyjacking permite al atacante alquilar el host comprometido a una red proxy, lo que permite monetizar el ancho de banda no utilizado. Cryptojacking, por otro lado, se refiere al abuso de los recursos del sistema para extraer criptomonedas.

Un aspecto notable de la campaña es el uso de binarios compilados escritos en Go y .NET para volar bajo el radar, con LABRAT también proporcionando acceso de puerta trasera a los sistemas infectados. En última instancia, esto podría allanar el camino para ataques de seguimiento, robo de datos y ransomware.

Las cadenas de ataque comienzan con la explotación de CVE-2021-22205 (puntuación CVSS: 10.0), una vulnerabilidad de ejecución remota de código que ha sido explotada en la naturaleza por actores de origen indonesio en el pasado para implementar criptomineros.

Una intrusión exitosa es seguida por la recuperación de un script de shell dropper de un servidor C2 que configura la persistencia, realiza un movimiento lateral utilizando credenciales SSH que se encuentran en el sistema y descarga binarios adicionales de un repositorio privado de GitLab.

"Durante la operación de LABAT, TryCloudflare se utilizó para redirigir las conexiones a un servidor web protegido por contraseña que alojaba un script de shell malicioso", dijo Miguel Hernández. "El uso de la infraestructura legítima de TryCloudFlare puede dificultar que los defensores identifiquen los subdominios como maliciosos, especialmente si también se usa en operaciones normales".


TryCloudflare es una herramienta gratuita que se puede utilizar para crear un túnel Cloudflare sin agregar un sitio al DNS de Cloudflare. Lanza un proceso que genera un subdominio aleatorio en No tienes permitido ver enlaces. Registrate o Entra a tu cuenta, permitiendo así que los recursos internos sean expuestos a la internet pública.

El desarrollo se suma al abuso de cloudflared para establecer canales de comunicación encubiertos desde hosts comprometidos y acceso principal a las redes de víctimas.

En una segunda variante del ataque, se dice que el adversario utilizó un servidor Solr en lugar de TryCloudflare para descargar un exploit para el PwnKit (CVE-2021-4034) desde el mismo repositorio de GitLab para elevar los privilegios, junto con otro archivo que ya no es accesible.

Algunas de las cargas útiles recuperadas por el script dropper incluyen una utilidad de código abierto conocida como Global Socket (gsocket) para acceso remoto y binarios para realizar cryptojacking y proxyjacking a través de servicios conocidos como IPRoyal y ProxyLite. El proceso de minería se oculta utilizando un rootkit basado en kernel llamado hiding-cryptominers-linux-rootkit.

También se entrega un ejecutable basado en Go diseñado para garantizar la persistencia y matar los procesos de minería de la competencia o las versiones anteriores de sí mismo para aprovechar al máximo los recursos de la máquina y maximizar sus ganancias.

"Dado que el objetivo de la operación de LABRAT es financiero, el tiempo es dinero", dijo Hernández. "Cuanto más tiempo pase sin detectarse un compromiso, más dinero ganará el atacante y más le costará a la víctima".

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta