[보안뉴스 김형근 기자] 보안 감시망을 교란하기 위해 엔비디아 정상 소프트웨어로 위장한 러스트(Rust) 기반 신종 원격 제어 악성코드(RAT), 일명 ‘라부바RAT’(LabubaRAT)이 발견됐다.
보안 기업 블랙포인트사이버(Blackpoint Cyber)는 최근 발간한 분석 보고서에서 “라부바RAT은 공격자가 실시간 침투 활동을 수행할 수 있도록 지속적 발판을 마련한다”며 “배포 시 호스트 프로파일링, 보안 도구 식별, 운영자 명령 수신, 파일 이동, 스크린샷 캡처 및 프록시 트래픽 중계 등의 기능을 수행한다”고 밝혔다.

이 악성코드는 탐지를 회피하고 연결을 유지하기 위해 HTTPS, WebView2, DNS 터널링 등 다중 통신 경로를 지원한다. 이를 통해 하나의 네트워크 경로가 차단되더라도 공격자는 제어 권한을 유지할 수 있다. 또 이 악성코드가 ‘서비스형 악성코드’(MaaS) 형태로 제공되고 있는 정황도 포착됐다.
초기 공격은 엔비디아의 컨테이너 런타임 툴킷을 사칭한 ‘nvidia-sysruntime.exe’ 파일로부터 시작된다. 명령제어(C2) 서버 정보를 바이너리에 하드코딩하지 않고, 실행 시 명령줄 인수(Command-line arguments)나 Base64로 인코딩된 단일 인수를 통해 런타임 구성을 주입 받는 방식을 취한다. 이러한 설계를 통해 공격자는 동일한 바이너리를 재컴파일할 필요 없이 인프라나 타깃 기업에 맞춰 서버 주소를 자유롭게 변경하며 무한 재사용할 수 있다.
주입된 설정 정보는 로컬 SQLite 데이터베이스에 저장되며, 이후 감염된 호스트의 시스템 환경 조사를 시작한다. 구글 크롬, 마이크로소프트 엣지 등 웹 브라우저 정보와 사용자 계정 컨트롤(UAC) 상태, 하드웨어 사양(Hostname, RAM, CPU)을 수집한다. 마이크로소프트 디펜더, 크라우드스트라이크, 센티넬원 등 설치된 보안 제품 리스트를 확인해 이후 전개할 공격 환경을 조율한다.
최종 구동된 라부바RAT은 별도 로더나 후속 도구 없이 원격 명령 및 파워쉘 실행, 자바스크립트 실행, 스크린샷 캡처, 파일 업·다운로드, 압축 파일 처리, SOCKS5 프록시 지원 등 광범위한 기능을 독립적으로 수행하며 시스템 제어권을 장악한다.
보안 연구원들은 C2 인프라 타이틀에 사용된 ‘LabubaPanel’과 라부부(Labubu) 테마의 파비콘에서 악성코드 이름을 명명했다고 밝혔다. 연구팀은 “이 샘플은 런타임 구성, 다중 통신 경로, 호스트 프로파일링 메커니즘을 집약한 완성도 높은 원격 제어 툴”이라며 “단순한 단발성 도구가 아니라 다양한 캠페인에 맞춰 동적으로 구성 및 운영될 수 있도록 고안된 러스트 기반의 프레임워크 구조”라고 경고했다.
[김형근 기자(editor@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>








.jpg)





