Siber güvenlik araştırmacıları, daha önce belgelenmemiş, Rust tabanlı bir uzaktan erişim truva atı (RAT) olan LabubaRAT'ı tespit etti. Bu kötü amaçlı yazılım, NVIDIA yazılımı gibi görünerek hedef ortamlara sızıyor. Blackpoint Cyber araştırmacıları Sam Decker ve Nevan Beal, LabubaRAT'ın kalıcı bir erişim noktası oluşturduğunu ve saldırganlara sistem profili çıkarma, güvenlik araçlarını belirleme, komut çalıştırma, dosya taşıma, ekran görüntüsü alma ve trafiği proxy üzerinden yönlendirme gibi yetenekler sunduğunu belirtiyor.
LabubaRAT, HTTPS, WebView2 ve DNS tünelleme dahil olmak üzere birden fazla iletişim yöntemini destekliyor. Bu sayede saldırganlar, bir iletişim yolu tespit edilip kapatılsa bile alternatif yollar üzerinden hedef sisteme erişimi sürdürebiliyor. Ayrıca, LabubaRAT'ın malware-as-a-service (MaaS) modeliyle sunulduğuna dair işaretler bulunuyor.
Saldırı zinciri, 'nvidia-sysruntime.exe' adlı bir yürütülebilir dosyayla başlıyor. Bu dosya, NVIDIA'nın container runtime toolkit'ini taklit ediyor. Örnek, komut ve kontrol (C2) bilgilerini sabit kodlamak yerine, komut satırı argümanları aracılığıyla bir çalışma zamanı yapılandırması alıyor. Bu sayede operatör, sunucu bilgileri ('pipicka[.]xyz') ve yoklama aralığı gibi parametreleri tanımlayabiliyor. Alternatif olarak, tek bir Base64 kodlu argüman da kullanılabiliyor.
Sonuç ve Değerlendirme
Araştırmacılar, bu yapılandırma yönteminin aynı derlenmiş ikili dosyanın farklı altyapı, kuruluş veya kampanya gruplarıyla yeniden kullanılmasına olanak tanıdığını vurguluyor. Yapılandırma, yerel bir SQLite veritabanında saklanıyor ve ardından keşif işlemleri başlıyor. Kötü amaçlı yazılım, yüklü web tarayıcılarını ve güvenlik ürünlerini (Google Chrome, Mozilla Firefox, Microsoft Edge, Brave, Microsoft Defender, CrowdStrike, SentinelOne, Carbon Black, Sophos, Malwarebytes, Bitdefender, ESET, Kaspersky, McAfee, Symantec, Trend Micro) tespit ediyor.
Sistem Güvenliği
Ayrıca, ana bilgisayar adı, RAM boyutu, CPU modeli ve Windows Kullanıcı Hesabı Denetimi (UAC) durumu gibi bilgileri topluyor. Bu bilgiler, sistemdeki güvenlik araçlarına bağlı olarak RAT işlevselliğini ayarlamak için kullanılıyor. LabubaRAT, komut çalıştırma, PowerShell çalıştırma, JavaScript çalıştırma, ekran görüntüsü alma, dosya yükleme/indirme, arşiv işleme ve SOCKS5 proxy desteği gibi geniş bir işlev yelpazesi sunuyor.
Blackpoint Cyber, LabubaRAT'ın operatöre, hedef sisteme etkileşimli erişim, dosya transferi, trafik yönlendirme ve kalıcı erişim sağlama gibi yetenekler verdiğini belirtiyor. Kötü amaçlı yazılım, C2 altyapısıyla ilişkili 'LabubaPanel' başlığına ve Labubu temalı bir favicon'a sahip. Araştırmacılar, bu örneğin çalışma zamanı yapılandırması, yerel durum, ana bilgisayar profili, birden çok iletişim yolu ve operatör görevlendirmesini birleştiren eksiksiz bir uzaktan erişim aracı olduğunu vurguluyor.
Kaynak: thehackernews.com