LabubaRAT 伪装成 NVIDIA 软件以控制 Windows 主机
导语:Blackpoint Cyber 的研究人员披露了一种名为 LabubaRAT 的新型 Rust 编写的远程访问木马,该恶意软件伪装成 NVIDIA 软件以规避检测,具备多种通信路径和丰富的远程控制能力,并可能以恶意软件即服务(MaaS)模式运营。
网络安全研究人员标记了一种此前未被记录的、基于 Rust 编写的远程访问木马(RAT),代号 LabubaRAT。该恶意软件伪装成 NVIDIA 软件,以便融入目标环境。
Blackpoint Cyber 的研究人员 Sam Decker 和 Nevan Beal 在今日发布的一份分析中表示:"LabubaRAT 为攻击者的手工活动创建了一个可重复使用的立足点。一旦部署,它可以对主机进行画像分析、识别安全工具、接收操作员指令、移动文件、截取屏幕截图,并通过受感染系统代理流量。"
该植入程序还支持多种通信方式,包括 HTTPS、WebView2 以及 DNS 隧道,即使其中一条通信路径被发现并关闭,攻击者仍可维持对受感染主机的访问。有迹象表明 LabubaRAT 正以恶意软件即服务(MaaS)的模式进行销售。
攻击链的起点是一个名为 "nvidia-sysruntime.exe" 的可执行文件,它模仿了 NVIDIA 的容器运行时工具包。该样本并未硬编码其命令与控制(C2)信息,而是通过命令行参数接受运行时配置。这使得攻击行动的操作员可以定义多个对建立与远程服务器通信至关重要的参数,包括服务器详情("pipicka[.]xyz")以及植入程序使用的轮询间隔。或者,攻击者也可以以单个 Base64 编码参数的形式提供这些单独的数值。
"由于这些值是在启动时提供的,因此同一个编译后的二进制文件可以在不同的基础设施、组织或攻击活动分组中重复使用,而无需依赖硬编码的服务器,"研究人员指出。配置随后被存储在本地 SQLite 数据库中。

之后,该恶意软件会执行发现操作,以清点主机上安装的 Web 浏览器和安全产品列表,特别检查是否存在 Google Chrome、Mozilla Firefox、Microsoft Edge、Brave、Microsoft Defender、CrowdStrike、SentinelOne、Carbon Black、Sophos、Malwarebytes、Bitdefender、ESET、Kaspersky、McAfee、Symantec 和 Trend Micro。此外,它还会收集主机名、内存大小、CPU 型号以及 Windows 用户账户控制(UAC)状态,以此为下一阶段准备环境,因为某些 RAT 功能可能会根据系统上存在的安全工具进行调整。
一旦启动,LabubaRAT 支持多种功能,包括命令执行、PowerShell 执行、JavaScript 执行、屏幕截图捕获、文件上传与下载、归档处理以及 SOCKS5 代理支持。"这些功能使操作员能够与主机进行交互、在环境中内外移动文件、通过系统路由流量,并维持访问权限,而无需依赖单独的加载器或功能单一的跟进工具,"Blackpoint Cyber 表示。
该恶意软件的命名源自其 C2 基础设施关联的"LabubaPanel"标题以及一个以 Labubu 为主题的网站图标。Blackpoint Cyber 进一步指出:"该样本将运行时配置、本地状态、主机画像分析、多种通信路径以及操作员任务整合为一个完整的远程访问工具。它为操作员提供了一种实用的方式,可用于注册代理、了解每个代理所处的环境、执行命令、移动文件、截取屏幕截图、代理流量,并维持用户级别的自启动。"
"LabubaPanel 品牌标识提供了最清晰的外部命名线索,但更重要的发现是其背后的框架式结构:一款基于 Rust 的 RAT,专为跨多个部署进行配置、注册和操作而构建,"Blackpoint Cyber 总结道。
来源信息
来源:The Hacker News
原文链接:https://thehackernews.com/2026/07/labubarat-masquerades-as-nvidia.html
作者:info@thehackernews.com (The Hacker News)

