Команда дослідження загроз Sysdig (TRT) виявила, що кібератаки з використанням бінарних файлів, написаних на Go та .NET, компрометують екземпляри локальних версій платформи безперервної інтеграції/безперервної доставки GitLab (CI/CD). Про це повідомляє DevOps.com.
Майкл Кларк, директор із дослідження загроз у Sysdig, сказав, що більшість атак на ланцюги поставок програмного забезпечення використовують скрипти.
Кіберзлочинці, які, ймовірно, базуються в росії, використовують бінарні файли для запуску проксі-зловмисників і кампаній криптомайнінгу, використовуючи інфраструктурні ресурси для розміщення екземплярів GitLab.
Криптомайнінг – це процес, який використовується для перевірки транзакцій криптовалюти. Proxyjacking передбачає перепродаж пропускної здатності постачальникам проксі-сервісів, щоб хтось міг приховати своє фізичне місцезнаходження.
Дослідження Sysdig під назвою LABRAT виявило, що тактика й методи, які використовуються для здійснення атак, є досить складними.
Крім використання двійкових файлів, кіберзлочинці також використовують інструменти з невиявленими сигнатурами, кросплатформне шкідливе програмне забезпечення, призначене для ухилення від платформ кібербезпеки, і платформу керування (C2), яка обходить брандмауери й руткіти на основі ядра, щоб приховати свою присутність.
Крім того, зловмисники зловживали законною службою TryCloudFlare, щоб маскувати свою мережу C2.
Вони постійно оновлюють свої інструменти, що вимагає від організацій, які керують GitLab, відстежувати тактику, методи та процедури (TTP), які використовуються під час кібератаки, щоб оновлювати список індикаторів компрометації (IoC).
Порівняно з незаконним доходом, який можна отримати від крипто- і проксі-зловмисників, ця кібератака заслуговує на увагу своєю витонченістю.
Менш зрозумілим є те, якою мірою вона може бути використана для впровадження вразливостей у ланцюги поставок програмного забезпечення на основі платформи GitLab.
Єдине, що можна сказати напевно, це те, що кіберзлочинці розробили більш просунуті можливості для компрометації ланцюгів постачання програмного забезпечення, які, ймовірно, будуть використані для компрометації кількох платформ DevOps.
