新兴威胁:LABRAT 运营
关键要点
LABRAT 运营利用了已修复的 GitLab 安全漏洞。该活动涉及多种恶意软件和命令控制工具,并使用 TryCloudflare 服务掩盖其恶意行为。攻击者通过利用 GitLab 的远程代码执行漏洞获取持久性接口。该攻击的主要目的是经济利益,损害时间越长,受害者损失越大。最近,新兴的威胁运营“LABRAT”利用了一个已修复的 GitLab 安全漏洞,展开了一场涉及加密挖矿和代理挖矿的活动。根据The Hacker News的报道,该活动还涉及使用隐秘的恶意软件和命令控制工具,以及利用 TryCloudflare 服务来掩盖恶意活动。
vp 梯子 免费攻击者首先利用被追踪为 CVE202122205 的 GitLab 远程代码执行漏洞,接着从一个 C2 服务器获取了一段用于建立持久性的 dropper shell 脚本,以便利用系统基础的 SSH 凭证进行横向移动,报告称。
研究人员还发现,该 dropper 脚本检索了开源的 Global Socket 工具,以通过 ProxyLite 和 IPRoyal 服务实现加密挖矿和代理挖矿,同时还包含一个基于 Go 语言的可执行文件,用于终止目标系统中其他挖矿进程。研究员米格尔埃尔南德斯Miguel Hernandez表示:“由于 LABRAT 运营的目标是经济利益,时间就是金钱,妥协暴露的时间越长,攻击者获得的收益就越多,受害者的损失也就越大。”
注意:保持系统和应用软件的及时更新及补丁应用,以防止此类攻击的发生。
