LABRAT Baru, Eksploitasi Cacat GitLab untuk Aktivitas Cryptojacking dan Proxyjacking
Cyberthreat.id - Sebuah operasi baru yang bermotivasi finansial yang dijuluki LABRAT diamati mempersenjatai kelemahan kritis yang sekarang telah ditambal di GitLab sebagai bagian dari kampanye cryptojacking dan proxyjacking.
"Penyerang menggunakan alat berbasis tanda tangan yang tidak terdeteksi, malware lintas platform yang canggih dan tersembunyi, alat perintah-dan-kontrol (C2) yang melewati firewall, dan rootkit berbasis kernel untuk menyembunyikan keberadaan mereka," kata Sysdig dalam laporan yang dibagikan kepada The Hacker News.
"Selain itu, penyerang menyalahgunakan layanan resmi, TryCloudflare, untuk mengaburkan jaringan C2 mereka."
Proxyjacking memungkinkan penyerang untuk menyewakan host yang disusupi ke jaringan proxy, sehingga memungkinkan untuk memonetisasi bandwidth yang tidak terpakai. Cryptojacking, di sisi lain, mengacu pada penyalahgunaan sumber daya sistem untuk menambang cryptocurrency.
Aspek penting dari kampanye ini adalah penggunaan binari terkompilasi yang ditulis dalam Go dan .NET untuk terbang di bawah radar, dengan LABRAT juga menyediakan akses pintu belakang ke sistem yang terinfeksi. Ini pada akhirnya dapat membuka jalan bagi serangan lanjutan, pencurian data, dan ransomware.
Rantai serangan dimulai dengan eksploitasi CVE-2021-22205 (skor CVSS: 10.0), kerentanan eksekusi kode jarak jauh yang telah dieksploitasi secara liar oleh aktor asal Indonesia di masa lalu untuk menyebarkan penambang kripto.
Pembobolan yang berhasil diikuti dengan pengambilan skrip dropper shell dari server C2 yang mengatur persistensi, melakukan pergerakan lateral menggunakan kredensial SSH yang ditemukan di sistem, dan mengunduh binari tambahan dari repositori GitLab pribadi.
"Selama operasi LABRAT, TryCloudflare digunakan untuk mengalihkan koneksi ke server web yang dilindungi kata sandi yang menghosting skrip shell berbahaya," kata Miguel Hernández.
"Menggunakan infrastruktur TryCloudFlare yang sah dapat mempersulit pembela HAM untuk mengidentifikasi subdomain sebagai berbahaya, terutama jika digunakan dalam operasi normal juga."
TryCloudflare adalah alat gratis yang dapat digunakan untuk membuat Terowongan Cloudflare tanpa menambahkan situs ke DNS Cloudflare. Ini meluncurkan proses yang menghasilkan subdomain acak di trycloudflare.com, sehingga memungkinkan sumber daya internal diekspos ke internet publik.
Perkembangan tersebut menambah penyalahgunaan cloudflared untuk membangun saluran komunikasi rahasia dari host yang disusupi dan akses utama ke jaringan korban.
Dalam varian serangan kedua, musuh dikatakan telah menggunakan server Solr alih-alih TryCloudflare untuk mengunduh eksploit untuk PwnKit (CVE-2021-4034) dari repositori GitLab yang sama untuk meningkatkan hak istimewa, bersama dengan file lain yang tidak lebih lama diakses.
Beberapa payload diambil oleh skrip dropper termasuk utilitas open-source yang dikenal sebagai Global Socket (gsocket) untuk akses jarak jauh dan binari untuk melakukan cryptojacking dan proxyjacking melalui layanan yang dikenal seperti IPRoyal dan ProxyLite.
Proses penambangan disembunyikan menggunakan rootkit berbasis kernel yang disebut hide-cryptominers-linux-rootkit.
Yang juga dikirimkan adalah executable berbasis Go yang dirancang untuk memastikan kegigihan dan membunuh proses penambangan yang bersaing atau versi lama dari dirinya sendiri untuk memanfaatkan sepenuhnya sumber daya mesin dan memaksimalkan pendapatan mereka.
"Karena tujuan operasi LABRAT adalah keuangan, waktu adalah uang," kata Hernández. "Semakin lama kompromi tidak terdeteksi, semakin banyak uang yang dihasilkan penyerang dan semakin banyak kerugian bagi korban."[]