Исследователи из Blackpoint Cyber Сэм Декер и Неван Бил обнаружили вредонос, который раньше нигде не фигурировал. Написан он на Rust, относится к классу RAT — удалённого доступа к заражённой машине, а маскируется под системный компонент NVIDIA. Назвали находку LabubaRAT — и название это не случайное.
Панель управления зловредом называется "LabubaPanel", а на её фавиконе красуется персонаж Labubu — та самая плюшевая игрушка-монстрик, ставшая вирусным хитом в соцсетях. Видимо, авторы малвари решили, что раз игрушка популярна, почему бы не приложить её образ к своему детищу. Из подобной детали и родилось имя для отчёта исследователей.
Судя по собранным данным, LabubaRAT распространяется по модели Malware-as-a-Service — то есть арендуется как сервис, а не продаётся разово. Заражение начинается с исполняемого файла nvidia-sysruntime.exe, который выдаёт себя за container runtime toolkit от NVIDIA — компонент, знакомый администраторам, работающим с GPU-нагрузками, и потому не вызывающий подозрений.
Здесь и кроется главная хитрость авторов: вместо того чтобы зашивать адрес управляющего сервера прямо в код (что легко детектируется антивирусами по сигнатуре), они реализовали приём конфигурации через аргументы командной строки. Оператор может на лету указать домен C2-сервера — в примере исследователей фигурирует "pipicka[.]xyz" — и интервал опроса, с которым имплант будет связываться с сервером. Есть и упрощённый вариант: все параметры передаются одной строкой в кодировке Base64.
В Blackpoint Cyber объяснили, зачем это нужно атакующим: «Поскольку эти значения задавались при запуске, один и тот же скомпилированный бинарник можно было использовать повторно с разной инфраструктурой, разными организациями или разными группировками кампаний, вместо того чтобы полагаться на жёстко прописанный сервер». Проще говоря — один файл годится для десятков разных атак без пересборки.
После запуска малварь сразу принимается за разведку внутри системы. Она собирает имя хоста, объём оперативной памяти, модель процессора и состояние UAC — контроля учётных записей Windows. Это не праздное любопытство: часть функций RAT дальше зависит от того, какие защитные инструменты обнаружены на машине, так что профилирование хоста определяет сценарий дальнейшей работы.
Сам функционал вредоноса получился внушительным. Он умеет профилировать хост и определять установленные средства безопасности, принимать команды оператора, загружать и выгружать файлы, делать скриншоты экрана, проксировать трафик через заражённую машину с поддержкой SOCKS5, выполнять произвольные команды и PowerShell-скрипты, запускать JavaScript, работать с архивами и закрепляться в системе через автозапуск на уровне пользователя.
Для связи с управляющим сервером предусмотрено сразу несколько каналов — HTTPS, WebView2 и DNS-туннелирование. Смысл в отказоустойчивости: если один канал заблокируют средства защиты сети, оператор переключится на другой и не потеряет доступ к скомпрометированной машине.
В Blackpoint Cyber подвели итог находке так: "LabubaRAT создаёт переиспользуемую точку опоры для ручной работы с системой». И далее: «Образец объединил конфигурацию во время выполнения, локальное состояние, профилирование хоста, несколько каналов связи и постановку задач оператором в единый полноценный инструмент удалённого доступа». По словам исследователей, малварь дала оператору практический способ ставить хосты на учёт, разбираться в окружении вокруг каждого агента, выполнять команды, перемещать файлы, делать снимки экрана, проксировать трафик и удерживать автозапуск на уровне пользователя.
Финальный вывод команды звучит показательно: «Брендинг LabubaPanel дал самую очевидную внешнюю подсказку для именования, но более важная находка — это похожая на фреймворк структура за ним: RAT на Rust, построенный так, чтобы его можно было конфигурировать, ставить на учёт и управлять им сразу в нескольких развёртываниях». Иными словами, перед аналитиками не разовая поделка, а модульная платформа, рассчитанная на масштабирование — с прицелом на Windows-хосты и на десятки параллельных кампаний под разными вывесками.
Панель управления зловредом называется "LabubaPanel", а на её фавиконе красуется персонаж Labubu — та самая плюшевая игрушка-монстрик, ставшая вирусным хитом в соцсетях. Видимо, авторы малвари решили, что раз игрушка популярна, почему бы не приложить её образ к своему детищу. Из подобной детали и родилось имя для отчёта исследователей.
Судя по собранным данным, LabubaRAT распространяется по модели Malware-as-a-Service — то есть арендуется как сервис, а не продаётся разово. Заражение начинается с исполняемого файла nvidia-sysruntime.exe, который выдаёт себя за container runtime toolkit от NVIDIA — компонент, знакомый администраторам, работающим с GPU-нагрузками, и потому не вызывающий подозрений.
Здесь и кроется главная хитрость авторов: вместо того чтобы зашивать адрес управляющего сервера прямо в код (что легко детектируется антивирусами по сигнатуре), они реализовали приём конфигурации через аргументы командной строки. Оператор может на лету указать домен C2-сервера — в примере исследователей фигурирует "pipicka[.]xyz" — и интервал опроса, с которым имплант будет связываться с сервером. Есть и упрощённый вариант: все параметры передаются одной строкой в кодировке Base64.
В Blackpoint Cyber объяснили, зачем это нужно атакующим: «Поскольку эти значения задавались при запуске, один и тот же скомпилированный бинарник можно было использовать повторно с разной инфраструктурой, разными организациями или разными группировками кампаний, вместо того чтобы полагаться на жёстко прописанный сервер». Проще говоря — один файл годится для десятков разных атак без пересборки.
После запуска малварь сразу принимается за разведку внутри системы. Она собирает имя хоста, объём оперативной памяти, модель процессора и состояние UAC — контроля учётных записей Windows. Это не праздное любопытство: часть функций RAT дальше зависит от того, какие защитные инструменты обнаружены на машине, так что профилирование хоста определяет сценарий дальнейшей работы.
Сам функционал вредоноса получился внушительным. Он умеет профилировать хост и определять установленные средства безопасности, принимать команды оператора, загружать и выгружать файлы, делать скриншоты экрана, проксировать трафик через заражённую машину с поддержкой SOCKS5, выполнять произвольные команды и PowerShell-скрипты, запускать JavaScript, работать с архивами и закрепляться в системе через автозапуск на уровне пользователя.
Для связи с управляющим сервером предусмотрено сразу несколько каналов — HTTPS, WebView2 и DNS-туннелирование. Смысл в отказоустойчивости: если один канал заблокируют средства защиты сети, оператор переключится на другой и не потеряет доступ к скомпрометированной машине.
В Blackpoint Cyber подвели итог находке так: "LabubaRAT создаёт переиспользуемую точку опоры для ручной работы с системой». И далее: «Образец объединил конфигурацию во время выполнения, локальное состояние, профилирование хоста, несколько каналов связи и постановку задач оператором в единый полноценный инструмент удалённого доступа». По словам исследователей, малварь дала оператору практический способ ставить хосты на учёт, разбираться в окружении вокруг каждого агента, выполнять команды, перемещать файлы, делать снимки экрана, проксировать трафик и удерживать автозапуск на уровне пользователя.
Финальный вывод команды звучит показательно: «Брендинг LabubaPanel дал самую очевидную внешнюю подсказку для именования, но более важная находка — это похожая на фреймворк структура за ним: RAT на Rust, построенный так, чтобы его можно было конфигурировать, ставить на учёт и управлять им сразу в нескольких развёртываниях». Иными словами, перед аналитиками не разовая поделка, а модульная платформа, рассчитанная на масштабирование — с прицелом на Windows-хосты и на десятки параллельных кампаний под разными вывесками.