LabubaRAT、NVIDIAソフトウェアを装うRust製マルウェアでWindowsシステムにバックドアを設置

これまで文書化されていなかったRustベースのリモートアクセス型トロイの木馬「LabubaRAT」が確認されました。正規のNVIDIAソフトウェアを装い、Windowsシステムへの永続的なアクセスを確立します。

このマルウェアは同社の脅威追跡チーム(Adversary Pursuit Group、APG)によって発見されたもので、単一目的のペイロードというよりも、パネルで管理される再利用可能なフレームワークとして設計されているとみられます。

確認されたサンプルはnvidia-sysruntime.exeという名称で、バージョンメタデータやデバッグ情報、ミューテックス名、ローカルデータベースファイルを通じてNVIDIA Container Runtimeのコンポーネントになりすましています。

このサンプルには「NVIDIA Corporation」「NVIDIA Container Runtime Monitor」「NVIDIA Container Toolkit」といった記述が含まれており、Local\NVIDIAContainerMonitor_SingleInstanceという名前の単一インスタンス用ミューテックスを作成します。

これらの痕跡により、NVIDIAソフトウェアが一般的に導入されている環境に紛れ込める可能性があります。

Software

NVIDIAブランドを装ってはいるものの、この署名なしの646464ビットWindows GUI実行ファイルは、実際にはRustで構築されたバックドアです。

研究者らは、コンパイルのタイムスタンプが202620262026年6月171717日であることを確認したほか、C:\Users\funt\.cargo\registry…を参照するRustビルドパスの痕跡や、nvidia_container.pdbというデバッグパスも発見しました。

この技術的証拠は、NVIDIAになりすました身元が、完全な機能を備えたリモートアクセス型インプラントを偽装するために意図的に作り込まれたものであることを示しています。

LabubaRATという名称は、そのコマンド&コントロール(C2)インフラに由来しています。確認されたC2ドメインpipicka[.]xyzでは、ページタイトルに「LabubaPanel」と表示され、Labubuをテーマにしたファビコンが使用されていました。

ハードコードされたC2アドレスを持つ従来型のマルウェアとは異なり、LabubaRATは配備時の設定を受け付けます。

攻撃者はコマンドラインパラメータ、またはZM_で始まる接頭辞を持つ環境変数を通じて、組織識別子、APIキー、サーバーURL、グループタグ、デバイス名、ポーリング間隔、DNS設定を指定できます。

Image

また、Base64でエンコードされた実行時引数をデコードする–bパラメータにも対応しており、脅威アクターは永続化用コマンドの中に設定値を隠すことができます。

確認された事例では、エンコードされた設定情報から、組織名は「luxespa」、キャンペーングループは「rabbit」、C2サーバーはhxxps[://]pipicka[.]xyzであることが判明しました。

このモデルにより、攻撃者はマルウェアを再ビルドすることなく、インフラや被害者のグループ分けを変えながら同一のコンパイル済みバイナリを複数のキャンペーンで使い回すことができます。

Blackpoint CyberのAdversary Pursuit Group(APG)は、GBhackersと共有されたレポートの中で、同じパネルの特徴を共有するドイツでホストされた追加のC2サーバーを特定したと述べており、6月上旬から始まったより広範なインフラ展開を示唆しています。

このマルウェアのローカルステートには、サーバーURL、デバイストークン、DNSパラメータ、ポーリング間隔、ホスト識別子が含まれています。

LabubaRAT Rust製マルウェア

LabubaRATはタスクを受け取る前に、ホスト名、CPUモデル、メモリ、IPアドレス、ドメイン所属、UAC(ユーザーアカウント制御)の状態、ブラウザの一覧、導入済みのセキュリティソフトウェアを収集し、感染端末のプロファイリングを行います。

Securityaudit services

Image

このマルウェアのセキュリティ製品検出ルーチンは、一般的なアンインストール用レジストリの場所を確認し、Microsoft Defender、CrowdStrike、SentinelOne、Carbon Black、Sophos、Malwarebytes、Bitdefender、ESET、Kaspersky、McAfee、Symantec、Trend Microといった製品を探索します。

この偵察活動によって、攻撃者は端末の防御態勢に合わせて次の行動を調整できるようになります。

LabubaRATは、標準的なHTTPSポーリング、Microsoft WebView2を利用した通信、DNSトンネリングという3つの通信チャネルに対応しています。

このRATは、nvctr_sys.dbというSQLiteデータベースに登録情報や運用データを保存しており、NVIDIAを装ったカモフラージュをさらに強めています。

WebView2機能は組み込みのJavaScriptとブラウザコンテキストでのfetch()リクエストを使用する一方、DNSモジュールはペイロードのチャンク分割、Base32デコード、リゾルバ設定、タイムアウト処理に対応しています。

これらの代替手段により、Webベースの直接的なC2通信がブロックまたは監視されている場合でも、攻撃者はフォールバックの選択肢を確保できます。

このマルウェアのタスク実行機能には、Windowsコマンドシェル、PowerShell、JavaScriptの実行のほか、Windows GDI APIを通じたスクリーンショットの取得、ファイルのアップロード・ダウンロード・削除・アーカイブ化、さらにSOCKS5プロキシ機能が含まれます。

JavaScriptハンドラーはwupd_という接頭辞が付いた一時ファイルとWindows Script Hostを使用しており、PowerShellがより厳しく監視されている環境では、代替の実行経路となる可能性があります。

LabubaRATはまた、HKCU\Runレジストリキーを通じたユーザーレベルでの永続化にも対応しています。これにBase64でラップされた起動時パラメータを組み合わせることで、このバックドアはユーザーのログオン後も設定を維持したまま再起動できます。

今回の発見は、Rustベースのマルウェアが柔軟なマルチトランスポート型フレームワークへと成熟し続けていることを浮き彫りにしています。

防御担当者は、NVIDIAを名乗る不審なバイナリを調査し、通常とは異なるHKCU\Runエントリを監視し、DNSの異常を確認するとともに、nvidia-sysruntime.exe、nvctr_sys: db、Local\NVIDIAContainerMonitor_SingleInstance、LabubaPanelに関連するインフラといった痕跡を探索すべきです。

侵害指標(IOC) 

種類  指標  詳細 
ファイル名  nvidia-sysruntime.exe  解析対象のWindows実行ファイル 
SHA-256  b7443b0ab48d2f5786d1b6f3a580f02621e9ae5a3877ee3a44e01df13d984328  解析対象のLabubaRATサンプル 
MD5  d8bf355a198fb5db3ea65cfdfcdfbd19  解析対象のLabubaRATサンプル 
PDBパス  nvidia_container.pdb  デバッグパスの痕跡 
ビルドパスのユーザー名  C:\Users\funt\.cargo\registry\…  Rustビルドパスの痕跡 
ミューテックス  Local\NVIDIAContainerMonitor_SingleInstance  単一インスタンス用ミューテックス 
ローカルデータベース  nvctr_sys.db  SQLiteローカルステートデータベース 
C2 URL  hxxps://pipicka[.]xyz  確認された設定済みサーバー 
IPアドレス  191.44.109[.]130  特定された関連インフラ 
IPアドレス  87.120.108[.]18  特定された関連インフラ 
IPアドレス  168.222.254[.]204  特定された関連インフラ 

注: IPアドレスおよびドメインは、誤った名前解決やハイパーリンク化を防ぐため、意図的に無害化表記(例: [.])としています。再度有効な形式に戻す作業は、MISP、VirusTotal、あるいは自社のSIEMなど、管理された脅威インテリジェンス基盤の中でのみ行ってください。

2019年当時のSOC向けに書かれたSLAを、今なお受け入れていませんか――2026年版AI SLA ベンダーチェックリストはこちら  ―― 無料の AI SOC SLA ガイドをダウンロード

ComputerSecurity

翻訳元: https://gbhackers.com/labubarat-rust-malware/

ソース: gbhackers.com