PupyRAT恶意软件活动分析

2024年 4月 12日 275.7k 0

Pupy是一种RAT恶意软件,其特点是跨平台支持。由于它是在 GitHub 上发布的开源代码,因此不断被包括 APT 组织在内的各种攻击者使用。例如,已知它过去曾被 APT35 组织使用过,该组织已知与伊朗有关,并且还被用于针对在线赌博网站的地球 Berberoka 行动 。最近,人们发现了一种名为 Decoy Dog 的恶意软件(一种更新版的 Pupy RAT),并被用于针对俄罗斯和东欧公司网络的攻击。

在这里,我们提供了 Pupy RAT 的基本解释以及分析过程中发现的攻击案例。代表性的例子包括针对国内 Linux 系统的攻击以及多年来针对亚洲国家传播的 Linux 版本的 Pupy RAT 恶意软件。

1、PupyRAT

Pupy RAT 可在 GitHub 上获取,是基于 C 和 Python 构建的。支持 Windows 和 Linux 操作系统,虽然有限,但也支持 Mac OSX 和 Android 操作系统。

图 1. GitHub 上发布的 Pupy RAT

由于它是一种RAT恶意软件,因此支持命令执行、文件和进程操作、文件上传和下载等功能,还支持屏幕截图和键盘记录等信息窃取功能。与常规 RAT 不同,Pupy RAT 还支持 Post Exploitation 模块,允许权限提升、账户信息窃取、横向移动等后续攻击。

图 2. Pupy RAT 支持的命令

一般来说,针对 Linux 系统的恶意软件往往会更改进程名称以使其类似于正常进程以进行隐藏。 Pupy RAT 的功能之一是它在运行时基本上将进程名称更改为“/usr/sbin/atd”。当然,根据攻击者的不同,有时会将路径名更改为不同的路径名,这与构建 Pupy RAT 时存储的修订号的前 8 位数字一起可以作为攻击的特征之一。区分攻击者。

图 3. Pupy RAT 的功能

2、针对亚洲国家的攻击案例

以下案例被认为是由同一攻击者创建和分发的。根据 VirusTotal 的信息,该恶意软件的特点是以“nptd”或“kworker”的名称进行传播,主要收集在日本、泰国等亚洲国家以及台湾、香港和新加坡。

图 4. 主要从亚洲国家收集的 Pupy RAT

该攻击自 2021 年以来一直在持续,即使到现在,也可以下载恶意软件。多年来,攻击者一直使用多个地址来上传恶意软件并将其用作 C&C 服务器。

作为参考,在共享相同下载和 C&C 服务器地址的恶意软件中,存在 Cobalt Strike。换句话说,攻击者不仅针对 Linux 系统,而且似乎还使用 Cobalt Strike 针对 Windows 系统。如果你查看恶意软件的图标或文件名,例如“ChromeSetup.exe”或“刘中盛—刘中盛—刐维工程师-大型企业内网运维-个人简历.docx.exe”,它们似乎是通过网络传播的伪装成普通软件或鱼叉式网络钓鱼攻击的页面。估计

图 5. Cobalt Strike,据信是由同一攻击者分发的

3、国内攻击案例分析

即使在国内,Pupy RAT 的收集也一直在进行。根据已发布的 IoC,有一个案例是 Pupy RAT 在 2019 年左右与 PlugX 一起分发。 PlugX是中国APT攻击组织使用的代表性后门恶意软件之一。据了解,该分布始于2008年左右,使用PlugX进行攻击的APT攻击组织主要包括Mustang Panda、Winnti、APT3和APT41等,据悉主要集中在中国。

图 6. 攻击中使用的 PlugX

虽然具体的感染途径在 2023 年左右尚未确定,但已经确认了 Pupy RAT 被上传到目前已停止服务的国内 Windows 实用程序共享网站的案例。

图 7. 攻击中使用的 Pupy RAT 配置数据

4、结论

Pupy RAT 是一种恶意代码,可以通过接收来自 C&C 服务器的命令来控制受感染的系统。除了基本命令外,它还提供信息窃取、代理等各种功能。除了典型RAT提供的这些功能外,它还提供权限提升、窃取账户信息以及横向移动等后续攻击等多种功能。

由于它是开源的并且支持多种平台,因此被许多攻击者使用,包括APT组织。大多数已知的攻击都针对 Windows 系统,但它们也不断用于针对 Linux 服务器。近期确认的针对Linux系统的恶意代码中,大部分案例集中在亚洲国家,国内也有收到的恶意代码。

为了防止此类安全威胁,您必须​​检查易受攻击的环境设置或身份验证信息,并始终将相关系统更新到最新版本以防范攻击。另外,您必须小心,通过将V3更新到最新版本来提前防止恶意软件感染。

文件诊断

– Malware/Win32.Generic.C3121812 (2019.03.24.09)
– Backdoor/Win.CobaltStrike.C5611386 (2024.04.11.03)
– Downloader/Win.CobaltStrike.C5611385 (2024.04.11.03)
– Backdoor/Linux.PupyRAT.3414160 (2024.04.08.02)
– Backdoor/Linux.PupyRAT.3700880 (2024.04.08.02)
– Backdoor/Linux.PupyRAT.3713536 (2021.07.09.02)
– Linux/Agent.2652544 (2019.08.04.00)

IOC

MD5

– 2f378559b835cbe9ec9874baec73a578:Pupy RAT – 국내(lvmetad)
– 64802dd9446be23d7188fb87426866cb:PlugX(adobe.dll)
– 504612eaebc2660c4ac00f5db1d24fca:Pupy R AT – 국내 (newp4.so)
– 4eb6509cf46d480647556105b42b4bee:Pupy RAT (kworker0tj)
– ef7651bbbf3f05234f2b1d5e30103588:Pupy RAT (kworker54c8)
– f35f7a7fb6c4352510c4f7a448e6ba03 : Pupy RAT (kworkerzn2x)
– 1358d7f17b0882a38a3cfa88df256fc1 : Pupy RAT (kworkerzf4d)
– 4c1124695279dd41c0b789235dbabf08 : Pupy RAT (kworkergo79)
– 73a6b6e84caf0f12782b70ece7bd60de : Pupy RAT (kworkers0id)
– 71ca0622043a7dec95bb4514ce14d627 : Pupy RAT (kworkerqxnz)
– 6a0a68b75ad2f087c1a566a6e3de1a28 : Pupy RAT (ntpd)
– 3eb3591c8c5d0a5a32dc24f91d6fe7fb : Pupy RAT (kworker)
– 9efdf13b1eee7b0c626d785b17cd5c95 : Pupy RAT (kworker37yu)
– 2c802c1fac3b0035b2a79cbd56510caa : Pupy RAT (ntpd)
– 16b088b75442e247a8c53161a8 a130b0:Pupy RAT (kworkert14r)
– 74199f5ca6421ade97cc511651fa2e4b:Pupy RAT (kworker)
– ef13037b082e9e1dfe39ae5cf9d101e3:Pupy RAT (ntpd)
– cd206fff363bb5543fc67ed9a9 BBE4 96: Puppy RAT (kworker9t8b)
– 1738429d3737b22d52b442c4faef50a1 : Pupy RAT (ntpd)
– f50d7a7bc104d87d6a4a9e2f4e1beedc : CobaltStrike 下载器 (ChromeSetup.exe)
– 5ab182b00e674cea319e2 15 2e7c3558f:CobaltStrike(propsys.dll)

C&C 服务器

– 45.32.16[.]248:443 : Pupy RAT – 국내
– 45.32.8[.]143:443 : PlugX
– safe.0xhu[.]com:443 : Pupy RAT – 국내
– img.law.api-cloudflare[.]com:443 : Pupy RAT
– gitall-api.microsoft-shop[.]com:443 : Pupy RAT
– gitall14-api.microsoft-shop[.]com:443 : Pupy RAT
– gitall18-api.microsoft-shop[.]com:443 : Pupy RAT
– jvp21.api-cloudflare[.]com:443 : Pupy RAT
– java.git.microsoft-shop[.]com:443 : Pupy RAT
– jvp23.api-cloudflare[.]com:443 : Pupy RAT
– hele.hkcdn.api-cloudflare[.]com:443 : Pupy RAT
– imag.awscnd.api-alipay[.]com:443 : Pupy RAT
– translate.cache01.mfath.ugliquarie[.]com:443 : Pupy RAT
– cache.cacti.api-cloudflare[.]com:443 : Pupy RAT
– lw.cdn-image.microsoft-shop[.]com:443 : Pupy RAT
– lw.cdn-image.microsoft-shop.com.bk1233[.]com:443 : Pupy RAT
– pyq-pro.update.microsoft-shop[.]com:443 : Pupy RAT
– pyq-pro.update.microsoft-shop.com.bk1233[.]com:443 : Pupy RAT
– 86.cdn-api.848820[.]com:443 : Pupy RAT
– 86.cdn-api.848820.com.bk1233[.]com:443 : Pupy RAT
– ue20.angc.blinktron[.]com:443 : Pupy RAT
– ue20.angc.blinktron.com.bk1233[.]com:443 : Pupy RAT
– api1-cdn[.]com/jquery-3.3.1.min.js:443 : CobaltStrike

下载地址

– hxxp://45.32.16[.]248/lvmetad : Pupy RAT – 국내
– hxxp://45.32.16[.]248/adobe.dll : PlugX
– hxxp://www.atfile[.]com/includephp/newp4.so : Pupy RAT – 국내
– hxxp://api.api-alipay[.]com/kworker0ytj : Pupy RAT
– hxxp://api.api-alipay[.]com/kworker54c8 : Pupy RAT
– hxxp://api.api-alipay[.]com/kworkergo79 : Pupy RAT
– hxxp://api.api-alipay[.]com/kworkers0id : Pupy RAT
– hxxp://api.api-alipay[.]com/kworkerqxnz : Pupy RAT
– hxxp://api.api-alipay[.]com/kworker37yu : Pupy RAT
– hxxp://api2-cdn[.]com/kworker9t8b : Pupy RAT
– hxxp://api.api2-cdn[.]com/kworker9t8b : Pupy RAT

参考链接: https://asec.ahnlab.com/ko/64073/

图片来源网络侵权可联系删除

相关文章

Mallox勒索软件新Linux变种现世
伪装成破解程序和商业工具的新型恶意软件正在传播
Orcinius后门新样本分析
Poseidon窃取程序通过Google广告感染Mac用户
大选开始之际,欧盟各政党遭受 DDoS 攻击
微软2024

发布评论