Siber güvenlik araştırmacıları, daha önce belgelenmemiş, Rust tabanlı bir uzaktan erişim truva atı (RAT) olan LabubaRAT'ı tespit etti. Blackpoint Cyber'dan Sam Decker ve Nevan Beal tarafından yapılan analize göre, LabubaRAT, NVIDIA yazılımı kılığına girerek hedef ortamlara sızıyor ve kalıcı bir erişim noktası oluşturuyor.
LabubaRAT, konuşlandırıldıktan sonra ana bilgisayarı profilleyebiliyor, güvenlik araçlarını tespit edebiliyor, operatör komutlarını alabiliyor, dosya taşıyabiliyor, ekran görüntüsü yakalayabiliyor ve etkilenen sistem üzerinden trafiği yönlendirebiliyor. Bu RAT, HTTPS, WebView2 ve DNS tünelleme dahil olmak üzere birden çok iletişim yöntemini destekliyor ve saldırganların bir yol tespit edilip kapatılsa bile erişimi sürdürmesine olanak tanıyor.
Saldırı zinciri, NVIDIA'nın konteyner runtime araç setini taklit eden 'nvidia-sysruntime.exe' adlı bir yürütülebilir dosyayla başlıyor. Bu örnek, komut ve kontrol (C2) bilgilerini sabit kodlamak yerine, komut satırı argümanları aracılığıyla bir çalışma zamanı yapılandırması kabul ediyor. Bu sayede kampanya operatörü, sunucu ayrıntıları ('pipicka[.]xyz') ve implantın kullandığı yoklama aralığı gibi uzak sunucuyla iletişim kurmak için gerekli çeşitli parametreleri tanımlayabiliyor.
Yapılandırma yerel bir SQLite veritabanında saklanıyor ve ardından ana bilgisayarda yüklü web tarayıcılarını ve güvenlik ürünlerini envanterlemek için keşif işlemleri başlatılıyor. Özellikle Google Chrome, Mozilla Firefox, Microsoft Edge, Brave, Microsoft Defender, CrowdStrike, SentinelOne, Carbon Black, Sophos, Malwarebytes, Bitdefender, ESET, Kaspersky, McAfee, Symantec ve Trend Micro varlığı kontrol ediliyor. Ayrıca ana bilgisayar adı, RAM boyutu, CPU modeli ve Windows Kullanıcı Hesabı Denetimi (UAC) durumu toplanıyor.
LabubaRAT, başlatıldıktan sonra komut yürütme, PowerShell çalıştırma, JavaScript çalıştırma, ekran görüntüsü yakalama, dosya yükleme ve indirme, arşiv işleme ve SOCKS5 proxy desteği gibi çok çeşitli işlevleri destekliyor. Bu yetenekler, operatöre ana bilgisayarla etkileşime geçme, ortama dosya girip çıkarma, sistem üzerinden trafik yönlendirme ve ayrı bir yükleyiciye veya dar kapsamlı bir takip aracına ihtiyaç duymadan erişimi sürdürme imkanı sağlıyor.
Sonuç ve Değerlendirme
Kötü amaçlı yazılım, C2 altyapısıyla ilişkili 'LabubaPanel' başlığına ve Labubu temalı bir favicon'a atıfta bulunuyor. Blackpoint Cyber, bu örneğin çalışma zamanı yapılandırması, yerel durum, ana bilgisayar profili oluşturma, birden çok iletişim yolu ve operatör görevlendirmesini eksiksiz bir uzaktan erişim aracında birleştirdiğini belirtiyor. LabubaRAT, operatörlere ana bilgisayarları kaydetme, her aracı çevresindeki ortamı anlama, komutları çalıştırma, dosyaları taşıma, ekran görüntüleri yakalama, trafiği yönlendirme ve kullanıcı düzeyinde otomatik başlatmayı sürdürme pratik bir yolu sunuyor.
Kaynak: thehackernews.com