LABRAT Campaign IOCs

Команда Sysdig Threat Research Team (TRT) недавно обнаружила новую финансово мотивированную операцию, получившую название LABRAT. Эта операция отличается от других тем, что злоумышленники делают упор на скрытность и уклонение от защиты в своих атаках. Обычно злоумышленники используют в качестве вредоносного ПО скрипты, поскольку они проще в создании. Однако этот злоумышленник предпочел использовать незамеченные скомпилированные двоичные файлы, написанные на языках Go и .NET, что позволило ему более эффективно скрыться.

Для сокрытия своего присутствия злоумышленник использовал не обнаруживаемые сигнатурные средства, сложные и скрытные кроссплатформенные вредоносные программы, средства управления (C2), обходящие межсетевые экраны, и руткиты на базе ядра. Для получения дохода злоумышленник использовал скрипты криптомайнинга и проксиджекинга, связанные с российскими компаниями. Кроме того, злоумышленник использовал легитимный сервис TryCloudFlare для маскировки своей сети C2.

Очевидно, что целью злоумышленника было получение дохода с помощью проксиджекинга и криптомайнинга. Proxyjacking позволяет злоумышленнику "сдавать" взломанную систему в аренду прокси-сети, по сути, продавая скомпрометированный IP-адрес. При этом, конечно, приходится платить за пропускную способность, но также возможны и репутационные издержки, если взломанная система будет использована для атаки или другой незаконной деятельности. Криптомайнинг также может нанести значительный финансовый ущерб, если его быстро не остановить. Возможно, доход был не единственной целью операции LABRAT, поскольку вредоносная программа также предоставляла backdoor-доступ к скомпрометированным системам. Такой доступ может быть использован для других атак, таких как кража данных, утечка или вымогательство.

Indicators of Compromise

IPv4

• 1.234.16.54
• 123.30.179.206

Domains

• desertplanets.com

URLs

• https://coffee-abandoned-predicted-skype.trycloudflare.com
• https://karma-adopt-income-jeffrey.trycloudflare.com
• https://passage-television-gardening-venue.trycloudflare.com
• https://separate-discussing-refrigerator-field.trycloudflare.com

SHA256

• 00df3dc4fe3a1c12acf3180d097ca88e0219331ae5cb6989fa4c3262597a2aba
• 0654789ea795e18c762ddde2de3215092065c7d26fde122e04cbcdf399a43b02
• 06ebe58e033b9228124a0575fddd6d2fde03afceef9ae030c92cb6640e3baebf
• 10512112e62cd1cffee4e167651897970d7fef2c004fd784addcbcd23376ea22
• 234f2f1ed4a13ea98074aec5de9e760c77845e8011746e51b7397b9eac3ae808
• 34dd0357f281c0a402afa8df60452f4ff4dcb68d2de162f39514ab3ece0f18f8
• 4fd39d545d877720a86a1858d5af6ac50a432c13b83abc01ca1a59f96f6c67c0
• 519ca08cc6b08b027441cd95dcb7ee5be6f9328a24687ab770a65e9246e8d4e9
• 5edf76c338cba244ba54ea3380b39531b1fdda13dfe447b17d40f24affb9d2f5
• 6fad185a92c7a718e80e6f0c4d5fa4155e21545cfe2edf03e70f21604deb89ba
• 7162a27a795d3ae13d0b8a6df0d7aa75fbefa74f8cb086ee46fdab0368d8ea07
• 75c775c26345ddaeda2a29775263433f92e62491fdc888d8deb320970da8cd77
• 846ef36e262ce34203ca82ec84b95ae7bd316d162ee184845fda7b957e22b640
• 8c7891a70dba1067308c75708ada89957324927b6c9860cad9291220869efcc1
• 96db518610ef5c4b08d454a0f931db619fa09d193ac05b10d5600d4652af6ee3
• 9f8eefd3199485b374728c8d51e700cc466f1a34b09f33a83b06775ebfb2f34a
• bee54e68d49cef7723dee09f39174245c015dd2dcf62ee8ffee6f4a156813d46
• c236b6337572217eb83dc628579bcd4cd5dfb13c35cca54757f34fb9abf3edd6
• d475ed387f2960611833348ba740d44b707a913bcd088f9731337a909a854c4c
• eb6a93b1a7a05b0f644426a57a54446728868bde9a531e31cfb8849a4b3c4824
• fc366b6b33f71cc3d5ba64551fc6c825b611045499dc8b41d2f2c70368301967
• ff4b30f45ec635f28801a24a175bbf7479fbcbf01131c7ff086ccd6cb64f2e8c