Pupy は RAT マルウェアであり、クロスプラットフォームをサポートすることが特徴である。Github に公開されたオープンソースであるため、APT グループを始めとして様々な攻撃者により継続的に使用されている。例えば、過去にはイランと繋がりがあると知られている APT35 グループが使用したものと知られており [1](外部サイト、英語にて提供)、オンラインカジノサイトを対象とする Operation Earth Berberoka [2](外部サイト、英語にて提供) でも使用されたことがある。最近では Pupy RAT をアップデートした Decoy Dog というマルウェアが発見されたが、これはロシアと東欧に位置する企業のネットワークを対象とした攻撃に使用された。[3](外部サイト、英語にて提供)
ここでは、Pupy RAT の基本的な説明と共に、解析の過程で確認された攻撃事例を取り扱う。代表的なものに、韓国国内の Linux システムを対象とした攻撃事例と、数年間にわたりアジア諸国を対象に拡散している Linux バージョンの Pupy RAT マルウェアがある。
1. PupyRAT
Github に公開されている Pupy RAT は C と Python をベースに製作された。Windows、Linux OS に対応し、限定的ではあるが Mac OSX、Android OS にも対応可能である。
RAT マルウェアであることから、コマンドの実行、ファイルおよびプロセスの操作、ファイルのアップロードおよびダウンロード等の機能をサポートしており、このほかにもスクリーンショットキャプチャー、キーロガーのように情報窃取機能もサポートする。Pupy RAT は一般的な RAT とは異なり Post Exploitation モジュールもサポートしているが、これによって権限昇格やアカウント情報窃取、ラテラルムーブメントのような後続の攻撃も可能である。
一般的に Linux システムを対象とするマルウェアは、隠蔽のためにプロセス名を正常なプロセスと同じように変更する傾向がある。Pupy RAT の特徴の一つは、基本的に実行中のプロセス名を「/usr/sbin/atd」に変更するという点である。もちろん攻撃者によっては異なるパス名に変更するケースもあるが、これは Pupy RAT をビルドする際に保存される Revision 番号の先頭 8桁と共に攻撃者を区分する特徴の一つとして使用されることがある。
2. アジア諸国を対象とする攻撃事例
以下は、同じ攻撃者により製作され配布されているものと推定される事例である。VirusTotal の情報を元にしたとき、マルウェアは「nptd」や「kworker」を装った名前で配布されたことが特徴であり、台湾、香港、シンガポール以外にも、日本やタイ等、主にアジア諸国から収集された。
この攻撃は2021年から最近まで続いており、現在時点でもマルウェアのダウンロードが可能である。攻撃者は数年間でいくつかのアドレスを活用してマルウェアをアップロードし、C&C サーバーで使用した。
参考に、同じダウンロードおよび C&C サーバーアドレスを共有するマルウェアの中には、Cobalt Strike が存在する。すなわち、攻撃者は Linux システムだけでなく、Cobalt Strike を利用して Windows システムも攻撃対象としたものと見られる。マルウェアのアイコンや「ChromeSetup.exe」、「刘中盛—运维工程师-大型企业内网运维-个人简历.docx.exe(翻訳: 劉中盛—運用保守エンジニア–大型企業イントラネット運用保守–個人経歴書.docx.exe)」のようなファイル名から、正常なソフトウェアに偽装した Web ページやスピアフィッシング攻撃を通じて配布したものと推定される。
3. 韓国国内を対象とする攻撃事例の解析
Pupy RAT は韓国国内からも継続的に収集されている。公開されている IoC を基準としたとき、2019年に Pupy RAT が PlugX と共に配布された事例が存在する。PlugX は中国を拠点とした APT 攻撃グループが使用する代表的なバックドアマルウェアの一つである。2008年から拡散が始まったものと知られており、PlugX を攻撃に使用した APT 攻撃グループには、代表的なものに Mustang Panda、Winnti、APT3、APT41 等があり、大半が中国を拠点にしているものと知られている。
2023年には、具体的な感染経路は不明であるものの、現在はサービスが中断されている韓国国内の Windows ユーティリティ共有サイトに Pupy RAT がアップロードされた事例も確認されている。
4. 結論
Pupy RAT は C&C サーバーからコマンドを受け取り、感染システムを操作できるマルウェアである。基本的なコマンド以外にも、情報窃取やプロキシのような様々な機能を同時に提供する。また、一般的な RAT が提供するこれらの機能に加えて、権限昇格やアカウント情報窃取、そしてラテラルムーブメントのような後続攻撃など、様々な機能も提供している。
オープンソースで公開されており、各種プラットフォームをサポートしているため、複数の攻撃者によって使用されているが、これは APT グループも同様である。既知の攻撃のうちのほとんどは Windows システムを対象とした攻撃だが、Linux サーバーを対象とする攻撃にも使用され続けている。Linux システムを対象とするマルウェアのうち、最近確認されているものはアジア諸国で収集された事例が大半を占めており、韓国国内で確認されたマルウェアも存在する。
このようなセキュリティ脅威を防止するためには、脆弱な環境設定や認証情報をチェックし、関連システムを常に最新バージョンにアップデートして攻撃から保護する必要がある。また、V3 を最新バージョンにアップデートしてマルウェアへの感染を事前に遮断できるように注意を払わなければならない。
ファイル検知
– Malware/Win32.Generic.C3121812 (2019.03.24.09)
– Backdoor/Win.CobaltStrike.C5611386 (2024.04.11.03)
– Downloader/Win.CobaltStrike.C5611385 (2024.04.11.03)
– Backdoor/Linux.PupyRAT.3414160 (2024.04.08.02)
– Backdoor/Linux.PupyRAT.3700880 (2024.04.08.02)
– Backdoor/Linux.PupyRAT.3713536 (2021.07.09.02)
– Linux/Agent.2652544 (2019.08.04.00)
IoC
MD5
– 2f378559b835cbe9ec9874baec73a578 : Pupy RAT – 韓国国内 (lvmetad)
– 64802dd9446be23d7188fb87426866cb : PlugX (adobe.dll)
– 504612eaebc2660c4ac00f5db1d24fca : Pupy RAT – 韓国国内 (newp4.so)
– 4eb6509cf46d480647556105b42b4bee : Pupy RAT (kworker0tj)
– ef7651bbbf3f05234f2b1d5e30103588 : Pupy RAT (kworker54c8)
– f35f7a7fb6c4352510c4f7a448e6ba03 : Pupy RAT (kworkerzn2x)
– 1358d7f17b0882a38a3cfa88df256fc1 : Pupy RAT (kworkerzf4d)
– 4c1124695279dd41c0b789235dbabf08 : Pupy RAT (kworkergo79)
– 73a6b6e84caf0f12782b70ece7bd60de : Pupy RAT (kworkers0id)
– 71ca0622043a7dec95bb4514ce14d627 : Pupy RAT (kworkerqxnz)
– 6a0a68b75ad2f087c1a566a6e3de1a28 : Pupy RAT (ntpd)
– 3eb3591c8c5d0a5a32dc24f91d6fe7fb : Pupy RAT (kworker)
– 9efdf13b1eee7b0c626d785b17cd5c95 : Pupy RAT (kworker37yu)
– 2c802c1fac3b0035b2a79cbd56510caa : Pupy RAT (ntpd)
– 16b088b75442e247a8c53161a8a130b0 : Pupy RAT (kworkert14r)
– 74199f5ca6421ade97cc511651fa2e4b : Pupy RAT (kworker)
– ef13037b082e9e1dfe39ae5cf9d101e3 : Pupy RAT (ntpd)
– cd206fff363bb5543fc67ed9a9bbe496 : Pupy RAT (kworker9t8b)
– 1738429d3737b22d52b442c4faef50a1 : Pupy RAT (ntpd)
– f50d7a7bc104d87d6a4a9e2f4e1beedc : CobaltStrike ダウンローダー (ChromeSetup.exe)
– 5ab182b00e674cea319e2152e7c3558f : CobaltStrike (propsys.dll)
C&C サーバー
– 45.32.16[.]248:443 : Pupy RAT – 韓国国内
– 45.32.8[.]143:443 : PlugX
– safe.0xhu[.]com:443 : Pupy RAT – 韓国国内
– img.law.api-cloudflare[.]com:443 : Pupy RAT
– gitall-api.microsoft-shop[.]com:443 : Pupy RAT
– gitall14-api.microsoft-shop[.]com:443 : Pupy RAT
– gitall18-api.microsoft-shop[.]com:443 : Pupy RAT
– jvp21.api-cloudflare[.]com:443 : Pupy RAT
– java.git.microsoft-shop[.]com:443 : Pupy RAT
– jvp23.api-cloudflare[.]com:443 : Pupy RAT
– hele.hkcdn.api-cloudflare[.]com:443 : Pupy RAT
– imag.awscnd.api-alipay[.]com:443 : Pupy RAT
– translate.cache01.mfath.ugliquarie[.]com:443 : Pupy RAT
– cache.cacti.api-cloudflare[.]com:443 : Pupy RAT
– lw.cdn-image.microsoft-shop[.]com:443 : Pupy RAT
– lw.cdn-image.microsoft-shop.com.bk1233[.]com:443 : Pupy RAT
– pyq-pro.update.microsoft-shop[.]com:443 : Pupy RAT
– pyq-pro.update.microsoft-shop.com.bk1233[.]com:443 : Pupy RAT
– 86.cdn-api.848820[.]com:443 : Pupy RAT
– 86.cdn-api.848820.com.bk1233[.]com:443 : Pupy RAT
– ue20.angc.blinktron[.]com:443 : Pupy RAT
– ue20.angc.blinktron.com.bk1233[.]com:443 : Pupy RAT
– api1-cdn[.]com/jquery-3.3.1.min.js:443 : CobaltStrike
ダウンロードアドレス
– hxxp://45.32.16[.]248/lvmetad : Pupy RAT – 韓国国内
– hxxp://45.32.16[.]248/adobe.dll : PlugX
– hxxp://www.atfile[.]com/includephp/newp4.so : Pupy RAT – 韓国国内
– hxxp://api.api-alipay[.]com/kworker0ytj : Pupy RAT
– hxxp://api.api-alipay[.]com/kworker54c8 : Pupy RAT
– hxxp://api.api-alipay[.]com/kworkergo79 : Pupy RAT
– hxxp://api.api-alipay[.]com/kworkers0id : Pupy RAT
– hxxp://api.api-alipay[.]com/kworkerqxnz : Pupy RAT
– hxxp://api.api-alipay[.]com/kworker37yu : Pupy RAT
– hxxp://api2-cdn[.]com/kworker9t8b : Pupy RAT
– hxxp://api.api2-cdn[.]com/kworker9t8b : Pupy RAT
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。
Categories:マルウェアの情報