Вредоносное ПО LabubaRAT проникает в системы Windows, выдавая себя за программное обеспечение NVIDIA

изображение: recraft
Специалисты Blackpoint Cyber нашли новую вредоносную программу LabubaRAT, написанную на Rust и заточенную под удалённое управление компьютерами с Windows. Троян маскируется под системный компонент NVIDIA, изучает заражённый хост, принимает команды оператора и превращает чужую машину в прокси для дальнейших действий. Угроза касается и российских пользователей, поскольку драйверы NVIDIA установлены на миллионах домашних и корпоративных ПК в стране, а маскировка под привычный процесс работает одинаково в любой языковой среде.
Название LabubaRAT появилось после разбора серверной инфраструктуры. Внутри панели управления обнаружился заголовок LabubaPanel и значок сайта, стилизованный под персонажа Labubu. За милым визуальным оформлением скрывалась полноценная станция для управления заражёнными компьютерами.
Один файл подходит для десятков кампаний
Большинство троянов хранит адрес управляющего сервера прямо внутри исполняемого файла. Авторы LabubaRAT пошли иначе. Параметры передаются во время запуска через аргументы командной строки или переменные среды. Оператор задаёт адрес C2, название организации, тег группы и API-ключ. Есть и компактный вариант, при котором настройки объединяются в один блок, кодируются в Base64 и расшифровываются уже во время выполнения.
Что это даёт атакующему:
- один скомпилированный бинарный файл работает с любым сервером управления;
- при блокировке инфраструктуры не нужна новая сборка, достаточно сменить параметры запуска;
- статический анализ образца не показывает готовых доменов или IP-адресов;
- разные кампании ведутся параллельно через один агент с разными ключами;
- образец можно передавать другим операторам без изменения кода.
Отмечается, что подобная схема запуска фактически превращает вредонос в универсальный конструктор, который можно перенастроить за секунды.
SQLite, HTTPS, WebView2 и DNS-туннель
После регистрации на сервере троян создаёт локальную базу nvctr_sys.db. Файл хранит рабочее состояние агента — задания, конфигурацию, результаты команд. Выбор SQLite практичен, поскольку встроенная база не требует отдельного сервера и работает прямо внутри приложения. После перезагрузки программа продолжает работу без повторной регистрации.
Для связи с C2 предусмотрено сразу несколько каналов:
- HTTPS для основного трафика, внешне похожий на обычное соединение с веб-сервисом;
- Microsoft Edge WebView2 для встраивания веб-контента с видом легального приложения;
- DNS-туннелирование для передачи данных внутри запросов системы доменных имён;
- регулярные обращения к разным хостам с ротацией маршрутов;
- смена канала при блокировке одного из способов связи.
DNS необходим почти каждой корпоративной сети, поэтому полностью его не отключить. Атакующие используют эту особенность для скрытого обмена командами. Если HTTPS блокируется межсетевым экраном, оператор пробует WebView2 или DNS.
Функциональность полноценной удалённой платформы
Разведка идёт сразу после запуска. Троян проверяет установленные браузеры (Chrome, Firefox, Edge, Brave), ищет защитные продукты через реестр Windows, собирает имя компьютера, характеристики процессора и объём памяти, проверяет членство в домене Active Directory и настройки контроля учётных записей пользователей.
В списке интересующих оператора решений безопасности значатся Microsoft Defender, CrowdStrike, SentinelOne, Carbon Black, Sophos, Bitdefender. Оператор получает досье до выбора следующего шага. Мощный EDR заставит действовать осторожнее, слабая защита откроет дорогу шумным командам.
Дальше открывается набор возможностей:
- выполнение команд Windows и сценариев PowerShell для управления системой и файлами;
- запуск JavaScript через встроенные компоненты Windows;
- снимки экрана с наблюдением за рабочим столом и открытыми документами;
- загрузка и скачивание файлов для доставки инструментов и вывода данных;
- работа с архивами для упаковки собранной информации.
Поддержка SOCKS5 превращает систему в сетевой прокси. Через заражённый хост злоумышленник направляет собственный трафик к внутренним сервисам — панелям администрирования, файловым серверам, базам данных. Компьютер жертвы уже находится внутри доверенного сегмента, поэтому системы контроля доступа могут пропустить соединение.
Маскировка под драйвер и закрепление в реестре
Начальным компонентом цепочки стал файл nvidia-sysruntime.exe. Это неподписанный 64-битный исполняемый файл, оформленный под часть NVIDIA Container Toolkit. В метаданных упоминаются NVIDIA Corporation, NVIDIA Container Runtime Monitor и NVIDIA Container Toolkit. На компьютерах с видеокартами NVIDIA действительно работают различные фоновые службы, поэтому знакомое имя редко вызывает мгновенную тревогу.
Цифровой подписи NVIDIA у файла нет. Настоящие компоненты крупных производителей обычно подписываются сертификатом компании, и отсутствие подписи у системоподобного бинарного файла становится поводом для проверки.
Для сохранения доступа LabubaRAT создаёт запись в разделе Windows Run. Программы, прописанные в этом месте реестра, запускаются автоматически при входе пользователя. Метод не относится к самым скрытным, но остаётся популярным из-за простоты.
Стоит обратить внимание, что связка автозапуска, локальной базы и трёх каналов связи создаёт устойчивую конструкцию даже без сложных драйверов и глубокого вмешательства в систему.
Что искать защитникам
Полагаться на имя nvidia-sysruntime.exe опасно, поскольку название легко меняется от кампании к кампании. Полезнее анализ поведения:
- неизвестный процесс создаёт файл nvctr_sys.db в пользовательской папке;
- программа опрашивает разделы реестра со сведениями об антивирусах;
- запускается PowerShell без очевидной причины со стороны пользователя;
- фиксируются частые DNS-запросы с длинными или меняющимися поддоменами;
- в разделе Windows Run появляется неподписанный файл в нестандартном пути.
Российским пользователям и администраторам угроза опасна тем, что троян не требует эксплойтов или уязвимостей — достаточно запустить файл с правдоподобным именем. Домашний ПК с игровой видеокартой NVIDIA, рабочая станция дизайнера или сервер с GPU-ускорением одинаково подходят под цель. После закрепления машина превращается в точку входа во внутреннюю сеть организации или в прокси для атак на другие ресурсы.
Rust усложняет анализ образцов из-за большого числа библиотечных функций и необычной структуры бинарного файла. Даже небольшая программа после сборки выглядит массивной. Сам выбор языка не говорит о вредоносности, но увеличивает время ручного разбора.
Редакция CISOCLUB видит в LabubaRAT показательный пример того, как рынок вредоносного ПО двигается в сторону готовых платформ вместо разовых поделок. Конфигурация при запуске, панель с API-ключами, разделение по организациям и группам — всё это признаки инструмента, рассчитанного на длительную эксплуатацию несколькими операторами сразу.
Для российских компаний ситуация усложняется тем, что маскировка под драйверы NVIDIA работает вне зависимости от локали системы, а массовое присутствие видеокарт этого производителя создаёт естественное прикрытие. Мы полагаем, что защита должна опираться не на списки имён файлов, а на поведенческий анализ — связку неподписанного процесса, локальной SQLite-базы, обращений к разделам защитных продуктов и подозрительных DNS-запросов. Именно такой подход даёт шанс остановить оператора до того, как он развернёт SOCKS5 и начнёт движение по внутренней сети.



