LabubaRAT doet zich voor als NVIDIA-software om Windows-hosts te besturen

Cybersecurity-onderzoekers hebben een voorheen ongedocumenteerde op Rust gebaseerde trojan voor externe toegang (RAT) met de codenaam gemarkeerd LabubaRAT dat zich voordoet als NVIDIA-software om op te gaan in doelomgevingen.

“LabubaRAT creëert een herbruikbare basis voor praktische activiteiten”, zeiden Blackpoint Cyber-onderzoekers Sam Decker en Nevan Beal in een vandaag gepubliceerde analyse. “Eenmaal geïmplementeerd kan het de host profileren, beveiligingstools identificeren, operatoropdrachten ontvangen, bestanden verplaatsen, schermafbeeldingen maken en proxy-verkeer via het getroffen systeem uitvoeren.”

Het implantaat ondersteunt ook meerdere communicatiemethoden, waaronder HTTPS, WebView2 en DNS-tunneling, waardoor aanvallers toegang kunnen behouden tot gecompromitteerde hosts, zelfs als één pad wordt gedetecteerd en afgesloten. Er zijn enkele tekenen dat LabubuRAT wordt aangeboden onder een Malware-as-a-Service (MaaS)-model.

Het startpunt van de aanvalsketen is een uitvoerbaar bestand genaamd “nvidia-sysruntime.exe”, dat de container runtime-toolkit van NVIDIA nabootst. In plaats van de command-and-control (C2)-informatie hard te coderen, accepteert het voorbeeld een runtime-configuratie via opdrachtregelargumenten.

Hierdoor kan de campagne-operator verschillende parameters definiëren die essentieel zijn voor het tot stand brengen van communicatie met de externe server, inclusief de serverdetails (“pipicka(.)xyz”) en het polling-interval dat door het implantaat wordt gebruikt. Als alternatief kan de aanvaller deze individuele waarden ook aanleveren in de vorm van één enkel Base64-gecodeerd argument.

“Omdat deze waarden bij de lancering werden verstrekt, kon hetzelfde gecompileerde binaire bestand opnieuw worden gebruikt met verschillende infrastructuur, organisaties of campagnegroeperingen in plaats van te vertrouwen op een hardgecodeerde server”, merkten de onderzoekers op.

De configuratie wordt vervolgens opgeslagen in een lokale SQLite-database, waarna detectie wordt uitgevoerd om de lijst met webbrowsers en beveiligingsproducten die op de host zijn geïnstalleerd te inventariseren, waarbij specifiek wordt gecontroleerd op de aanwezigheid van Google Chrome, Mozilla Firefox, Microsoft Edge, Brave, Microsoft Defender, CrowdStrike, SentinelOne, Carbon Black, Sophos, Malwarebytes, Bitdefender, ESET, Kaspersky, McAfee, Symantec en Trend Micro.

Bovendien verzamelt het de hostnaam, RAM-grootte, CPU-model en de status van Windows User Account Control (UAC) als een manier om de omgeving voor te bereiden op de volgende fase, aangezien sommige RAT-functionaliteit kan worden gedicteerd door de beveiligingshulpmiddelen die op het systeem aanwezig zijn.

Eenmaal gelanceerd ondersteunt LabubaRAT een breed scala aan functies, zoals opdrachtuitvoering, PowerShell-uitvoering, JavaScript-uitvoering, screenshot-opname, bestandsupload en -download, archiefverwerking en SOCKS5-proxyondersteuning.

“Deze mogelijkheden gaven de operator voldoende controle om met de host te communiceren, bestanden in en uit de omgeving te verplaatsen, verkeer door het systeem te routeren en toegang te behouden zonder te vertrouwen op een afzonderlijke lader of een beperkte vervolgtool”, aldus Blackpoint Cyber.

De malware is een verwijzing naar de titel “LabubaPanel” die verband houdt met de C2-infrastructuur en een favicon met Labubu-thema.

“Het voorbeeld combineerde runtime-configuratie, lokale status, hostprofilering, meerdere communicatiepaden en operatortaken in een complete tool voor externe toegang”, aldus Blackpoint Cyber. “De malware bood een operator een praktische manier om hosts in te schrijven, de omgeving rond elke agent te begrijpen, opdrachten uit te voeren, bestanden te verplaatsen, screenshots te maken, proxyverkeer te regelen en automatisch opstarten op gebruikersniveau te onderhouden.”

“De LabubaPanel-branding leverde de duidelijkste externe naamgevingsaanwijzing op, maar de belangrijkste bevinding is de raamwerkachtige structuur erachter: een op Rust gebaseerde RAT die is gebouwd om te worden geconfigureerd, geregistreerd en gebruikt in meerdere implementaties.”

Thijs Van der Does