C
月内に
NVIDIAのソフトウェアに偽装してWindowsホストを制御する、Rust製の新型リモートアクセスツール(RAT)「LabubaRAT」
📌 一言でいうと
NVIDIAのソフトウェアに偽装してWindowsホストを制御する、Rust製の新型リモートアクセスツール(RAT)「LabubaRAT」が発見されました。このマルウェアはホストのプロファイリング、スクリーンショットのキャプチャ、ファイルの移動などの機能を持ち、HTTPSやDNSトンネリングを用いてC2通信を行います。また、Malware-as-a-Service (MaaS) モデルで提供されている可能性が指摘されています。
🔍該当判定
- Windows PCで、NVIDIA製のグラフィックボード(GPU)を利用している
- 社内でNVIDIAのソフトウェア(ドライバーやツールキット)をインストール・更新した
- PC内で「nvidia-sysruntime.exe」というファイルが見つかった
上記いずれにも該当しない → 静観でOK
✅該当時の対応
不審な実行ファイル(特にnvidia-sysruntime.exeなど)の実行を避け、エンドポイント検出・応答(EDR)による不審なネットワーク通信(DNSトンネリング等)の監視を強化してください。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】新型RAT「LabubaRAT」の検出について
お疲れさまです。新型のリモートアクセスツール(RAT)に関する情報共有です。
■ 概要
Rustで開発された「LabubaRAT」というマルウェアが確認されました。NVIDIAのコンテナランタイムツールキット(nvidia-sysruntime.exe)に偽装して侵入し、ホストの制御や情報窃取を行います。HTTPS、WebView2、DNSトンネリングなど複数の通信経路を使い分けるため、検知を回避する傾向があります。
■ 影響範囲
- Windows OS
- NVIDIA製ソフトウェアを利用する環境
■ 対応手順
1. EDR/SIEMにて、不審なプロセス「nvidia-sysruntime.exe」の実行履歴を確認してください。
2. DNSトンネリングやWebView2を用いた異常な外部通信が発生していないか監視を強化してください。
3. 未知の実行ファイルの実行を制限するポリシーを適用してください。
■ 参考情報
- Blackpoint Cyber Analysis
対応優先度: 中
対応期限: 随時
お疲れさまです。新型のリモートアクセスツール(RAT)に関する情報共有です。
■ 概要
Rustで開発された「LabubaRAT」というマルウェアが確認されました。NVIDIAのコンテナランタイムツールキット(nvidia-sysruntime.exe)に偽装して侵入し、ホストの制御や情報窃取を行います。HTTPS、WebView2、DNSトンネリングなど複数の通信経路を使い分けるため、検知を回避する傾向があります。
■ 影響範囲
- Windows OS
- NVIDIA製ソフトウェアを利用する環境
■ 対応手順
1. EDR/SIEMにて、不審なプロセス「nvidia-sysruntime.exe」の実行履歴を確認してください。
2. DNSトンネリングやWebView2を用いた異常な外部通信が発生していないか監視を強化してください。
3. 未知の実行ファイルの実行を制限するポリシーを適用してください。
■ 参考情報
- Blackpoint Cyber Analysis
対応優先度: 中
対応期限: 随時
Subject: [Intel] Detection of New RAT "LabubaRAT"
Dear Team,
We are sharing information regarding a newly discovered remote access trojan (RAT) named LabubaRAT.
■ Overview
LabubaRAT is a Rust-based implant that masquerades as NVIDIA software (specifically nvidia-sysruntime.exe) to maintain a foothold on Windows hosts. It supports various C2 communication methods, including HTTPS, WebView2, and DNS tunneling, to bypass security controls and perform actions such as host profiling and data exfiltration.
■ Scope
- Windows OS
- Environments utilizing NVIDIA software
■ Recommended Actions
1. Review EDR/SIEM logs for any unauthorized execution of "nvidia-sysruntime.exe".
2. Enhance monitoring for anomalous network traffic, specifically DNS tunneling and unusual WebView2 activity.
3. Enforce strict application execution policies to prevent the run of unsigned or untrusted binaries.
■ Reference
- Blackpoint Cyber Analysis
Priority: Medium
Deadline: Ongoing
Dear Team,
We are sharing information regarding a newly discovered remote access trojan (RAT) named LabubaRAT.
■ Overview
LabubaRAT is a Rust-based implant that masquerades as NVIDIA software (specifically nvidia-sysruntime.exe) to maintain a foothold on Windows hosts. It supports various C2 communication methods, including HTTPS, WebView2, and DNS tunneling, to bypass security controls and perform actions such as host profiling and data exfiltration.
■ Scope
- Windows OS
- Environments utilizing NVIDIA software
■ Recommended Actions
1. Review EDR/SIEM logs for any unauthorized execution of "nvidia-sysruntime.exe".
2. Enhance monitoring for anomalous network traffic, specifically DNS tunneling and unusual WebView2 activity.
3. Enforce strict application execution policies to prevent the run of unsigned or untrusted binaries.
■ Reference
- Blackpoint Cyber Analysis
Priority: Medium
Deadline: Ongoing