NVIDIA Kılığındaki LabubaRAT Kötü Amaçlı Yazılımı Windows Sistemleri Hedef Alıyor Yazılım

NVIDIA Kılığındaki LabubaRAT Kötü Amaçlı Yazılımı Windows Sistemleri Hedef Alıyor

LabubaRAT, NVIDIA yazılımı kılığına girerek Windows sistemlere sızan, Rust tabanlı bir uzaktan erişim aracıdır. Blackpoint Cyber tarafından keşfedilen

Siber güvenlik dünyası, NVIDIA yazılımı gibi görünen ancak aslında sofistike bir uzaktan erişim aracı (RAT) olan LabubaRAT ile sarsıldı. Blackpoint Cyber araştırmacıları tarafından keşfedilen bu daha önce belgelenmemiş kötü amaçlı yazılım, Rust programlama dili ile geliştirilmiş ve Windows sistemlerde post-sızma operasyonları gerçekleştiriyor. LabubaRAT, kurban sistemde kalıcı bir dayanak noktası oluşturarak saldırganlara geniş bir kontrol yelpazesi sunuyor. Araştırmacılar, yazılımın C2 (komut ve kontrol) altyapısında 'LabubaPanel' başlığı ve Labubu temalı bir favicon keşfettikten sonra bu ismi verdiler.

LabubaRAT'ın en dikkat çekici özelliklerinden biri, yapılandırmasını ikili dosyaya sabit kodlamak yerine, çalışma zamanında komut satırı argümanları veya eşleşen ortam değişkenleri aracılığıyla almasıdır. Bu sayede saldırganlar, her dağıtım için yeni bir derleme yapmak zorunda kalmadan aynı ikili dosyayı farklı altyapılar, organizasyonlar veya kampanya grupları için yeniden kullanabiliyor. Yapılandırma; C2 sunucusu, organizasyon, grup etiketi ve API anahtarı gibi parametreleri içeriyor. Alternatif olarak, tüm bu parametreler Base64 kodlu tek bir konfigürasyon bloğu halinde de sağlanabiliyor. Bu esneklik, LabubaRAT'ı bir hizmet olarak kötü amaçlı yazılım (MaaS) modeline yaklaştırıyor, ancak araştırmacılar henüz bu yönde bir atıf yapmıyor.

Kötü amaçlı yazılım, C2 sunucusuna kaydolduktan sonra yerel durumu 'nvctr_sys.db' adlı bir SQLite veritabanında saklıyor. İletişim için HTTPS polling, Microsoft Edge WebView2 ve DNS tünelleme olmak üzere üç farklı kanal kullanıyor. Bu çoklu iletişim yolları, bir kanalın kullanılamaz hale gelmesi durumunda bağlantının sürdürülebilmesini sağlıyor. LabubaRAT'ın yetenekleri arasında komut yürütme, PowerShell ve JavaScript çalıştırma, ekran görüntüsü alma, dosya yükleme/indirme, arşiv işleme ve SOCKS5 proxy desteği bulunuyor. Ayrıca Windows Run kayıt defteri anahtarı oluşturarak kalıcılık sağlıyor ve yeniden başlatmalardan sonra otomatik olarak çalışıyor.

Sistem Güvenliği

Saldırı zincirinin giriş noktası, 'nvidia-sysruntime.exe' adlı 64-bit imzasız bir ikili dosyadır. Bu dosya, NVIDIA'nın konteyner runtime toolkit'ini taklit ediyor. Sürüm bilgilerinde 'NVIDIA Corporation', 'NVIDIA Container Runtime Monitor' ve 'NVIDIA Container Toolkit' referansları bulunuyor, böylece dosya ilk bakışta meşru bir NVIDIA yazılımı gibi görünüyor. Bu taktik, güvenlik yazılımlarını ve kullanıcıları atlatmak için kullanılıyor. LabubaRAT, komut almadan önce kurban sistemi profilleyerek Chrome, Firefox, Edge ve Brave gibi tarayıcıları kontrol ediyor; ayrıca Microsoft Defender, CrowdStrike, SentinelOne, Carbon Black, Sophos, Bitdefender gibi güvenlik ürünlerini Windows kayıt defteri kaldırma anahtarları aracılığıyla tespit ediyor. Bunun yanı sıra bilgisayar adı, CPU ve bellek detayları, etki alanı üyeliği ve UAC durumu gibi bilgileri topluyor.

Detaylar ve Etkileri

Blackpoint Cyber, LabubaRAT'ın yalnızca yeniden adlandırılmış bir ikili dosya olmadığını vurguluyor. Örnek, çalışma zamanı yapılandırması, yerel durum, ana bilgisayar profili çıkarma, çoklu iletişim yolları ve operatör görevlendirmesini birleştiren eksiksiz bir uzaktan erişim aracıdır. Tasarımı, aynı derlenmiş ajanın farklı altyapılara yönlendirilmesine, farklı gruplara atanmasına ve panel destekli bir iş akışıyla yönetilmesine olanak tanıyor. Bu framework benzeri mimari, LabubaRAT'ın birden çok operasyonda yeniden kullanılmak üzere tasarlandığını gösteriyor. Şirket, savunmacıların LabubaRAT etkinliğini tespit etmesine yardımcı olmak için tehlike göstergelerini (IoC) paylaştı.

LabubaRAT tehdidi, özellikle NVIDIA gibi güvenilir markaların taklit edilmesiyle daha da tehlikeli hale geliyor. Kullanıcıların, resmi olmayan kaynaklardan yazılım indirmekten kaçınmaları ve dosya bütünlüğünü doğrulamaları önem taşıyor. Kurumsal ağlarda, uygulama beyaz listeleme, davranışsal analiz ve uç nokta tespit ve yanıt (EDR) çözümleri gibi katmanlı güvenlik önlemleri alınmalıdır. Ayrıca, sistem yöneticileri, 'nvidia-sysruntime.exe' gibi şüpheli işlemleri izlemeli ve beklenmedik ağ bağlantılarını denetlemelidir. Güncel güvenlik yamaları ve farkındalık eğitimleri de bu tür saldırılara karşı korunmada kritik rol oynuyor.

Kaynak: helpnetsecurity.com

Paylaş: