
Los investigadores de ciberseguridad han informado sobre un troyano de acceso remoto (RAT) basado en Rust no documentado anteriormente, con nombre en código LabubaRAT, que se hace pasar por software de NVIDIA y se integra en los entornos de destino.
«LabubaRAT crea un andamio reutilizable para actividades prácticas», dijeron los investigadores de Blackpoint Cyber Sam Decker y Nevan Beal en un análisis publicado hoy. «Una vez implementado, podrá perfilar hosts, identificar herramientas de seguridad, recibir comandos de operador, mover archivos, capturar capturas de pantalla y enviar tráfico proxy a través de los sistemas afectados».
El implante también admite múltiples métodos de comunicación, incluidos HTTPS, WebView2 y túneles DNS, lo que permite a los atacantes mantener el acceso a los hosts comprometidos incluso si se detecta y bloquea una ruta. Hay varias señales de que LabubuRAT se ofrece bajo un modelo de Malware como Servicio (MaaS).
La cadena de ataque comienza con un archivo ejecutable llamado ‘nvidia-sysruntime.exe’ que se hace pasar por Container Runtime Toolkit de NVIDIA. Este ejemplo acepta la configuración del tiempo de ejecución a través de argumentos de línea de comando en lugar de codificar información de comando y control (C2).
Esto permite al operador de la campaña definir varios parámetros que son clave para establecer la comunicación con el servidor remoto, como los detalles del servidor (‘pipicka(.)xyz’) y el intervalo de sondeo utilizado por el implante. Alternativamente, un atacante puede proporcionar estos valores individuales en forma de un único argumento codificado en Base64.
«Debido a que estos valores se proporcionan al inicio, el mismo binario compilado se puede reutilizar en diferentes infraestructuras, organizaciones y grupos de campaña en lugar de depender de servidores codificados», señalan los investigadores.
Luego, la configuración se guarda en una base de datos SQLite local y se realiza una operación de descubrimiento para recopilar la lista de navegadores web y productos de seguridad instalados en el host. En concreto, comprobamos la presencia de Google Chrome, Mozilla Firefox, Microsoft Edge, Brave, Microsoft Defender, CrowdStrike, SentinelOne, Carbon Black, Sophos, Malwarebytes, Bitdefender, ESET, Kaspersky, McAfee, Symantec y Trend Micro.
Además, algunas funciones de RAT pueden depender de las herramientas de seguridad presentes en el sistema, por lo que recopilamos el nombre de host, el tamaño de RAM, el modelo de CPU y el estado del Control de cuentas de usuario (UAC) de Windows como una forma de preparar el entorno para la siguiente etapa.
Una vez iniciado, LabubaRAT admite una amplia gama de funciones, incluida la ejecución de comandos, la ejecución de PowerShell, la ejecución de JavaScript, la captura de capturas de pantalla, la carga y descarga de archivos, el manejo de archivos y la compatibilidad con proxies SOCKS5.
«Estas capacidades ahora brindan a los operadores suficiente control para interactuar con los hosts, mover archivos dentro y fuera de sus entornos, enrutar el tráfico a través de sus sistemas y mantener el acceso sin depender de cargadores separados o una gama limitada de herramientas de seguimiento», dijo Blackpoint Cyber .
El malware es una referencia al título «LabubaPanel» asociado con la infraestructura C2 y un favicon con temática de Labubu.
«Esta muestra integró la configuración del tiempo de ejecución, el estado local, la creación de perfiles de host, múltiples rutas de comunicación y tareas del operador en una herramienta completa de acceso remoto», dijo Blackpoint Cyber . «El malware proporcionó a los operadores una forma práctica de registrar hosts, comprender el entorno alrededor de cada agente, ejecutar comandos, mover archivos, capturar capturas de pantalla, tráfico proxy y mantener el inicio automático a nivel de usuario».
«La marca de LabubaPanel proporcionó la señal de nomenclatura externa más obvia, pero el descubrimiento más importante fue la estructura similar a un marco detrás de ella. La RAT basada en Rust está diseñada para configurarse, registrarse y operar en múltiples implementaciones».
Source link
