Nguyễn Tiến Đạt
Intern Writer
Các chuyên gia của Blackpoint Cyber vừa phát hiện LabubaRAT, một biến thể Remote Access Trojan (RAT) mới được viết bằng ngôn ngữ Rust. Mã độc ngụy trang dưới dạng phần mềm của NVIDIA nhằm đánh lừa người dùng và quản trị viên, sau đó âm thầm chiếm quyền điều khiển các máy chủ Windows.
Điểm đáng chú ý là LabubaRAT không sử dụng địa chỉ máy chủ điều khiển (C2) được mã hóa cứng trong mã nguồn. Thay vào đó, toàn bộ thông tin kết nối được truyền khi khởi chạy thông qua đối số dòng lệnh hoặc chuỗi mã hóa Base64. Cách làm này giúp cùng một tệp thực thi có thể được tái sử dụng trong nhiều chiến dịch tấn công với hạ tầng C2 khác nhau, khiến việc phân tích và phát hiện trở nên khó khăn hơn.
Sau khi lây nhiễm, mã độc lưu cấu hình vào cơ sở dữ liệu SQLite, đồng thời thu thập thông tin hệ thống như tên máy, CPU, RAM, trạng thái UAC và kiểm tra hàng loạt trình duyệt cũng như các giải pháp bảo mật phổ biến như Microsoft Defender, CrowdStrike, SentinelOne, Sophos, Bitdefender, ESET, Kaspersky, McAfee hay Trend Micro để đánh giá môi trường trước khi triển khai các hoạt động tiếp theo.
LabubaRAT được trang bị đầy đủ tính năng của một RAT hiện đại, bao gồm thực thi lệnh, chạy PowerShell và JavaScript, chụp màn hình, tải lên và tải xuống tệp, xử lý tệp nén, thiết lập proxy SOCKS5 và chuyển tiếp lưu lượng mạng. Đặc biệt, mã độc hỗ trợ nhiều kênh liên lạc như HTTPS, WebView2 và đường hầm DNS, giúp duy trì kết nối với máy chủ điều khiển ngay cả khi một kênh bị chặn.
Theo Blackpoint Cyber, nhiều dấu hiệu cho thấy LabubaRAT có thể đang được phát triển theo mô hình Malware-as-a-Service (MaaS), cho phép nhiều nhóm tấn công sử dụng cùng một nền tảng với cấu hình linh hoạt. Tên gọi của mã độc được cho là xuất phát từ "LabubaPanel" – bảng điều khiển C2 sử dụng biểu tượng theo chủ đề Labubu.
Sự xuất hiện của LabubaRAT phản ánh xu hướng các nhóm tin tặc ngày càng ưu tiên sử dụng ngôn ngữ Rust để phát triển mã độc nhờ hiệu năng cao, khả năng chạy đa nền tảng và gây khó khăn cho quá trình phân tích. Việc giả mạo các phần mềm uy tín như NVIDIA cũng tiếp tục là chiêu thức hiệu quả nhằm đánh lừa nạn nhân và vượt qua các biện pháp phòng thủ ban đầu.
Điểm đáng chú ý là LabubaRAT không sử dụng địa chỉ máy chủ điều khiển (C2) được mã hóa cứng trong mã nguồn. Thay vào đó, toàn bộ thông tin kết nối được truyền khi khởi chạy thông qua đối số dòng lệnh hoặc chuỗi mã hóa Base64. Cách làm này giúp cùng một tệp thực thi có thể được tái sử dụng trong nhiều chiến dịch tấn công với hạ tầng C2 khác nhau, khiến việc phân tích và phát hiện trở nên khó khăn hơn.
Sau khi lây nhiễm, mã độc lưu cấu hình vào cơ sở dữ liệu SQLite, đồng thời thu thập thông tin hệ thống như tên máy, CPU, RAM, trạng thái UAC và kiểm tra hàng loạt trình duyệt cũng như các giải pháp bảo mật phổ biến như Microsoft Defender, CrowdStrike, SentinelOne, Sophos, Bitdefender, ESET, Kaspersky, McAfee hay Trend Micro để đánh giá môi trường trước khi triển khai các hoạt động tiếp theo.
LabubaRAT được trang bị đầy đủ tính năng của một RAT hiện đại, bao gồm thực thi lệnh, chạy PowerShell và JavaScript, chụp màn hình, tải lên và tải xuống tệp, xử lý tệp nén, thiết lập proxy SOCKS5 và chuyển tiếp lưu lượng mạng. Đặc biệt, mã độc hỗ trợ nhiều kênh liên lạc như HTTPS, WebView2 và đường hầm DNS, giúp duy trì kết nối với máy chủ điều khiển ngay cả khi một kênh bị chặn.
Theo Blackpoint Cyber, nhiều dấu hiệu cho thấy LabubaRAT có thể đang được phát triển theo mô hình Malware-as-a-Service (MaaS), cho phép nhiều nhóm tấn công sử dụng cùng một nền tảng với cấu hình linh hoạt. Tên gọi của mã độc được cho là xuất phát từ "LabubaPanel" – bảng điều khiển C2 sử dụng biểu tượng theo chủ đề Labubu.
Sự xuất hiện của LabubaRAT phản ánh xu hướng các nhóm tin tặc ngày càng ưu tiên sử dụng ngôn ngữ Rust để phát triển mã độc nhờ hiệu năng cao, khả năng chạy đa nền tảng và gây khó khăn cho quá trình phân tích. Việc giả mạo các phần mềm uy tín như NVIDIA cũng tiếp tục là chiêu thức hiệu quả nhằm đánh lừa nạn nhân và vượt qua các biện pháp phòng thủ ban đầu.
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview