قام باحثو الأمن السيبراني بوضع علامة على فيروس طروادة للوصول عن بعد غير الموثق مسبقًا والمعتمد على Rust (RAT) والذي يحمل الاسم الرمزي لابوبارات الذي يتنكر في صورة برنامج NVIDIA للاندماج في البيئات المستهدفة.
وقال سام ديكر ونيفان بيل، الباحثان في بلاك بوينت سايبر، في تحليل نُشر اليوم: “إن LabubaRAT يخلق موطئ قدم يمكن إعادة استخدامه للأنشطة العملية”. “بمجرد نشره، يمكنه تعريف المضيف وتحديد أدوات الأمان وتلقي أوامر المشغل ونقل الملفات والتقاط لقطات الشاشة وحركة مرور الوكيل عبر النظام المتأثر.”
تدعم الغرسة أيضًا طرق اتصال متعددة، بما في ذلك HTTPS وWebView2 وDNS، مما يسمح للمهاجمين بالحفاظ على الوصول إلى المضيفين المخترقين حتى إذا تم اكتشاف مسار واحد وإغلاقه. هناك بعض الدلائل على أن LabubuRAT يتم تقديمه ضمن نموذج البرامج الضارة كخدمة (MaaS).
نقطة البداية لسلسلة الهجوم هي ملف قابل للتنفيذ يسمى “nvidia-sysruntime.exe”، والذي ينتحل صفة مجموعة أدوات وقت تشغيل الحاوية الخاصة بـ NVIDIA. تقبل العينة، بدلاً من ترميز معلومات الأوامر والتحكم (C2) الخاصة بها، تكوين وقت التشغيل من خلال وسيطات سطر الأوامر.
يتيح ذلك لمشغل الحملة تحديد المعلمات المختلفة التي تعتبر أساسية لإنشاء اتصال مع الخادم البعيد، بما في ذلك تفاصيل الخادم (“pipicka[.]xyz”) والفاصل الزمني للاستقصاء الذي تستخدمه عملية الزرع. وبدلاً من ذلك، يمكن للمهاجم أيضًا توفير هذه القيم الفردية في شكل وسيطة واحدة مشفرة بـ Base64.
وأشار الباحثون إلى أنه “نظرًا لأنه تم توفير هذه القيم عند الإطلاق، يمكن إعادة استخدام نفس الملف الثنائي المجمع مع بنية تحتية أو مؤسسات أو مجموعات حملات مختلفة بدلاً من الاعتماد على خادم مشفر”.
يتم بعد ذلك تخزين التكوين في قاعدة بيانات SQLite محلية، وبعد ذلك يقوم بعمليات الاكتشاف لجرد قائمة متصفحات الويب ومنتجات الأمان المثبتة على المضيف، وتحديدًا التحقق من وجود Google Chrome وMozilla Firefox وMicrosoft Edge وBrave وMicrosoft Defender وCrowdStrike وSentinelOne وCarbon Black وSophos وMalwarebytes وBitdefender وESET وKaspersky وMcAfee وSymantec وTrend Micro.
بالإضافة إلى ذلك، فهو يجمع اسم المضيف وحجم ذاكرة الوصول العشوائي ونموذج وحدة المعالجة المركزية وحالة التحكم في حساب مستخدم Windows (UAC) كوسيلة لإعداد البيئة للمرحلة التالية، حيث قد تملي بعض وظائف RAT بواسطة أدوات الأمان الموجودة على النظام.
بمجرد إطلاقه، يدعم LabubaRAT مجموعة واسعة من الوظائف، مثل تنفيذ الأوامر، وتنفيذ PowerShell، وتنفيذ JavaScript، والتقاط لقطة الشاشة، وتحميل الملفات وتنزيلها، ومعالجة الأرشيف، ودعم وكيل SOCKS5.
وقالت Blackpoint Cyber: “لقد أعطت هذه القدرات المشغل تحكمًا كافيًا للتفاعل مع المضيف، ونقل الملفات داخل وخارج البيئة، وتوجيه حركة المرور عبر النظام، والحفاظ على الوصول دون الاعتماد على أداة تحميل منفصلة أو أداة متابعة ذات نطاق ضيق”.
تعد البرامج الضارة بمثابة إشارة إلى عنوان “LabubaPanel” المرتبط بالبنية التحتية لـ C2 والرمز المفضل الذي يحمل سمة Labubu.
وقال Blackpoint Cyber: “لقد جمعت العينة بين تكوين وقت التشغيل، والحالة المحلية، وملفات تعريف المضيف، ومسارات الاتصال المتعددة، ومهام المشغل في أداة وصول عن بعد كاملة”. “أعطت البرامج الضارة للمشغل طريقة عملية لتسجيل المضيفين، وفهم البيئة المحيطة بكل وكيل، وتنفيذ الأوامر، ونقل الملفات، والتقاط لقطات الشاشة، وحركة مرور الوكيل، والحفاظ على التشغيل التلقائي على مستوى المستخدم.”
“قدمت العلامة التجارية LabubaPanel أوضح دليل للتسمية الخارجية، ولكن النتيجة الأكثر أهمية هي البنية الشبيهة بإطار العمل خلفها: RAT القائم على Rust والذي تم تصميمه ليتم تهيئته وتسجيله وتشغيله عبر عمليات نشر متعددة.”
