新型LabubaRAT、NVIDIA製ソフトウェアを偽装しコマンド実行と不正トラフィックのプロキシ化を実行

Blackpoint社のAdversary Pursuit Groupは、NVIDIA製ソフトウェアを偽装するRust製の新しいリモートアクセス型トロイの木馬「LabubaRAT」を確認しました。

nvidia-sysruntime.exeとして配布されるこのマルウェアは、NVIDIA関連のファイルのメタデータやランタイム名を利用して正規ソフトウェアに見せかけながら、感染したWindowsシステムに対する広範な制御権を攻撃者に与えます。

この未署名の646464ビットWindows実行ファイルは、「NVIDIA Container Runtime Monitor」および「NVIDIA Container Toolkit」に関連するものだと称しています。

しかし、実際の挙動は正規のNVIDIA製ツールとは一致しません。このインプラントは、デバイスの登録、ホスト情報の収集、コマンド実行、ファイル転送、スクリーンショットの取得、SOCKS5プロキシの確立、そして永続化の維持といった機能を備えています。

LabubaRATはRustでコンパイルされており、開発環境を特定できる複数のアーティファクトが確認されています。

研究者らは、コンパイルタイムスタンプが202620262026年6月171717日であること、C:\Users\funt\.cargo\registry\…を参照するRust Cargoレジストリのパス、そしてnvidia_container.pdbという名前のデバッグファイルを発見しました。

また、このマルウェアはLocal\NVIDIAContainerMonitor_SingleInstanceというミューテックスを作成し、複数コピーの同時実行を防止します。このNVIDIA風のミューテックス名は、正規のランタイム監視ユーティリティに見せかける効果を果たしています。

Blackpoint社は、関連するコマンド&コントロール(C2)ドメインであるpipicka[.]xyzを観測した際、そのWebページのタイトルに「LabubaPanel」という文字列が含まれ、Labubuをモチーフとしたファビコンが使用されていたことから、このマルウェアを「LabubaRAT」と命名しました。

C2サーバーがハードコードされている基本的なRATとは異なり、LabubaRATは起動時に設定を受け取る仕組みになっています。

オペレーターは、コマンドライン引数、あるいはZM_というプレフィックスの付いた環境変数を通じて、組織名、APIキー、グループ名、デバイス名、C2サーバー、DNS設定、ポーリング間隔を指定できます。

例えば、–serverとZM_SERVERは、入力方法は異なりますが同じサーバー設定を提供します。

このRATはさらに、Base64エンコードされた起動パラメータを含む–b引数にも対応しており、攻撃者はC2のURLやAPIキーといった値を、1つのエンコード済みコマンドライン文字列の中に隠すことができます。

登録後、LabubaRATはnvctr_sys.dbという名前のSQLiteデータベースに設定情報と動作データを保存します。

このデータベースには、server_url、device_name、device_token、DNS設定、ポーリング間隔などの値を保持でき、マルウェアは再起動後もその識別情報を維持できます。

このRATは、後続のコマンドを受信する前に感染ホストのプロファイリングを行います。具体的には、ホスト名、CPUモデル、RAM容量、IPアドレス、ドメイン参加状況、UACの状態、ブラウザの一覧、インストール済みセキュリティソフトウェアなどを収集します。

セキュリティ製品の確認対象には、Microsoft Defender、CrowdStrike、SentinelOne、Sophos、Malwarebytes、Bitdefender、ESET、Kaspersky、McAfee、Symantec、Trend Microが含まれると、blackpointcyber社は述べています

この通信方式の柔軟性により、直接的なHTTPS通信が制限または厳しく監視されている環境でも、オペレーターがアクセスを維持しやすくなります。

接続が確立されると、このRATはcmd、PowerShell、JavaScriptによるタスクを実行できます。JavaScriptモジュールは、wupd_というプレフィックスの付いた一時ファイルを作成し、Windows Script Host経由で実行します。

さらに、Windows GDI APIを利用したデスクトップのスクリーンショット取得、ファイルのアップロード・ダウンロード、データの削除、ディレクトリの作成、ファイルのアーカイブ化・展開も可能です。

注記: 本記事内のIPアドレスおよびドメインは、誤ってアクセスやハイパーリンク化されることを防ぐため、意図的に無害化表記(例: [.])としています。実際のURLに戻す際は、MISP、VirusTotal、SIEMなど管理された脅威インテリジェンス環境内でのみ行ってください。

翻訳元: https://cyberpress.org/labubarat-abuses-nvidia-branding/

ソース: cyberpress.org