NVIDIA公式ツールに徹底擬態する最新バックドア:LabubaRAT

LabubaRATは、2026年7月14日に報告された、Rust言語で開発されたWindows向けの検出回避機構を搭載したリモートアクセスツール(RAT)です。
セキュリティ製品の検知を巧みに回避しながら、標的のシステムへの永続的な足がかり(バックドア)を築く目的で使用されます。
特徴を見てみましょう。

  • 徹底した「足元(セキュリティツール)」の偵察
    実行されると、まず感染端末のプロファイル(CPU、メモリ、ドメイン、UAC有効化状態など)を自動で作成します。特にセキュリティ製品(ウイルス対策ソフト)の検出に執念を燃やし、以下のレジストリパスなどを探索して、インストールされている製品を特定します。
    Microsoft Defender, CrowdStrike, SentinelOne, Carbon Black, Sophos, Malwarebytes, Bitdefender, ESET, Kaspersky, McAfee, Symantec, Trend Micro などを検出します。
  • 柔軟すぎるC2(制御サーバー)との通信経路
    ファイアウォールなどの監視網を通り抜けるため、通常の通信方法(HTTPS)以外にも複数の迂回ルートを持っています。
    • 通常のHTTPSポーリング
    • WebView2(Microsoft Edge)を通じた通信
    • DNSトンネリング(DNSの名前解決パケットに命令を埋め込んで通信を隠蔽する手法)
  • 破壊・奪取のためのフルスペック機能
    攻撃者の指示により、以下のような何でもありの遠隔操作コマンドを実行可能です。
    • コマンド実行・シェル操作(PowerShell、JavaScript、通常のシェルコマンド)
    • 画面キャプチャ(デスクトップのリアルタイム監視)
    • ファイルの送受信(重要データの持ち出しや、追加のウイルス配置)
    • SOCKS5プロキシ化(被害者のネットワークを「踏み台」にして、さらなる内部侵入を行う)
  • MaaSを疑わせる汎用システム
    このマルウェアはプログラム内に特定のC2アドレスがハードコードされていません。
    起動時にコマンドライン引数(または環境変数)から、テナントID、グループ名、接続先URLなどを自由に流し込める設計になっています。
    これにより、攻撃者は使い回しのバイナリに対して『起動オプション(コマンドライン引数)』を付与するだけで、標的に応じた攻撃キャンペーンを即座に展開できます。
    単に単体で動く野良アプリではなく、他の侵入フェーズから引き継いで『パラメータ付きで実行される』ことを想定したプロ仕様の設計です。

LabubaRATは、セキュリティ監視の目をごまかすため、グラフィックボード(GPU)の最大手であるNVIDIA社のツールに徹底的に擬態しています。

  • ファイルのバージョン情報に「NVIDIA Corporation」「NVIDIA Container Runtime Monitor」などの偽の記述を埋め込む
  • 多重起動を防ぐためのミューテックス(排他制御)名に `Local\NVIDIAContainerMonitor_SingleInstance` を使用し、NVIDIAプロセスを装う
  • 端末内での設定保持に使用する SQLite データベースファイル名に、それらしい `nvctr_sys.db` を設定する

LabubaRATはRust製であり、シグネチャ(パターンマッチング)による初期のウイルス対策ソフトをすり抜ける傾向にあります。防衛側では以下の対策が有効です。

  1. デジタル署名の検証を徹底する
    NVIDIA製品を装ったプロセス(`nvidia-sysruntime.exe` など)が実行された際、有効な署名(Digital Signature)が欠落しているものは自動的にブロック、またはアラートを上げるルールを設計します。
  2. コマンドラインの監視
    起動時に `-b`(Base64でエンコードされた引数)や `-server` などの怪しいオプションを伴って、不自然なディレクトリから起動するプロセスがないか監視します。
  3. 振る舞い検知(EDR)の導入
    予期しないSQLiteデータベース(`nvctr_sys.db`)の生成、セキュリティソフトのアンインストール情報の探索、WebView2やDNSを用いた外部通信など、一連の挙動をトリガーにして検知・対処できるEDRの導入が極めて効果的です。

LabubaRAT: A Rust Based Remote Access Tool Masquerading as NVIDIA Software
https://blackpointcyber.com/blog/labubarat-a-rust-based-remote-access-tool-masquerading-as-nvidia-software/

一緒によく読まれている記事

最新の脅威情報
をお届け

BLOGブログ

情報セキュリティに対する啓蒙のため、
3つのメディアを運用し、
情報発信を行っています。

わたしたちはサイバー領域や
認知領域の未知なる脅威に、
テクノロジーとインテリジェンスで対抗します。

私たちが選ばれる理由

CONTACT リスクマネジメントサービスの
ご相談窓口

コンステラ セキュリティ ジャパンは
最先端のサービスを
お客様のニーズに
カスタマイズして提供し、
効果が出るまで寄り添います。