Pupy RAT, 윈도우와 리눅스 시스템 노려... 한국과 아시아 국가 공격

2024-04-28 20:17
  • 카카오톡
  • 네이버 블로그
  • url
Pupy RAT, 오픈소스 악성코드로 APT 그룹·사이버 공격자 사이에서 꾸준히 사용돼
정보탈취 및 원격 명령 실행 등 감염 시스템 제어


[보안뉴스 박은주 기자] Pupy RAT(퓨피 Remote Administration Tool, 원격관리도구)를 사용한 사이버 공격이 우리나라를 비롯해 일본, 대만, 홍콩 등 아시아 국가를 대상으로 이어지고 있어 주의가 당부된다.


▲깃허브에 공개된 Pupy RAT[자료=ASEC]

안랩 시큐리티 인텔리전스 센터(ASEC)에 따르면 Pupy RAT은 C와 파이썬을 기반으로 제작됐다. 리눅스와 윈도우 운영체제를 지원하며, 제한적이지만 Mac OSX, Android 운영체제도 지원할 수 있다. C&C 서버로부터 명령을 받아 감염 시스템을 제어하는데, 명령 실행, 파일과 프로세스 작업, 파일 업로드 및 다운로드 등 기능을 지원한다. 이외에도 스크린샷 캡쳐, 키로깅과 같이 정보를 탈취할 수도 있다.

일반적인 RAT과 달리 Post Exploitation 모듈도 지원한다. 이를 통해 권한 상승이나 계정 정보 탈취, 측면 이동 같은 후속 공격을 할 수 있다. 오픈소스인 만큼 APT(Advanced Persistent Threat, 지능형 지속 공격) 그룹과 사이버 공격자가 꾸준히 사용하는 도구다.


▲Pupy RAT 특징 코드[자료=ASEC]

또 다른 특징 중 하나는 실행 프로세스 이름을 ‘/usr/sbin/atd’로 바꾸는 것이다. 보편적으로 리눅스 대상 악성코드는 존재를 숨기기 위해 이름을 정상 프로세스와 비슷하게 바꾸는 점과 유사하다.

Pupy RAT는 바이러스토탈(VirusTotal) 정보를 기준으로 ‘nptd’나 ‘kworker’를 위장한 이름으로 유포되고 있다. 특히 대만, 홍콩, 싱가포르 외에도 일본이나 태국 등 주로 아시아에서 수집됐다. 감염은 2021년부터 최근까지도 이어지고 있으며, 현재도 악성코드를 내려받을 수 있다. 공격자는 수년간 여러 개 주소를 활용해 악성코드를 올리고 C&C 서버로 사용했다.


▲동일한 공격자가 유포한 것으로 추정되는 코발트 스트라이크[자료=ASEC]

동일한 다운로드 및 C&C 서버 주소를 공유하는 악성코드 중에는 모의해킹 도구인 ‘코발트 스트라이크(Cobalt Strike)’도 발견됐다. 즉, 리눅스뿐만 아니라 윈도우 시스템을 공격 대상으로 삼았다는 증거다.

Pupy RAT은 국내에서도 꾸준히 수집된다. 공개된 IoC를 기준으로, 2019년 Pupy RAT이 PlugX와 함께 유포된 사례가 있다. PlugX는 중국 기반의 APT 공격 그룹이 사용하는 대표적인 백도어 악성코드다. 구체적인 감염 경로는 확인되지 않았지만, 2023년 서비스 중단된 국내 윈도우 유틸리티 공유 사이트에 Pupy RAT가 업로드되는 일도 있었다. 최근 Pupy RAT를 발전시킨 ‘Decoy Dog’라는 악성코드가 발견됐다. 이는 러시아와 동유럽 기업 네트워크 공격에 사용된 것으로 알려져 있다.

Pupy RAT과 더불어 악성코드로 인한 보안 위협을 예방하려면 취약한 환경 설정이나 인증 정보를 검사해야 한다. 관련 시스템을 항상 최신 버전으로 업데이트해 취약점 공격으로부터 보호해야 한다.
[박은주 기자(boan5@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

헤드라인 뉴스

TOP 뉴스

이전 스크랩하기


과월호 eBook List 정기구독 신청하기

    • 유니뷰코리아

    • 인콘

    • 엔텍디바이스코리아

    • 이노뎁

    • 다봄씨엔에스

    • 아이디스

    • 씨프로

    • 웹게이트

    • 지오멕스소프트

    • 하이크비전

    • 한화비전

    • ZKTeco

    • 비엔에스테크

    • 비엔비상사

    • 원우이엔지
      줌카메라

    • 지인테크

    • 다후아테크놀로지코리아

    • 이화트론

    • 다누시스

    • 테크스피어

    • 렉스젠

    • 슈프리마

    • 혜성테크윈

    • 시큐인포

    • 미래정보기술(주)

    • 프로브디지털

    • 인텔리빅스

    • 경인씨엔에스

    • 트루엔

    • 성현시스템

    • 세연테크

    • 비전정보통신

    • 디비시스

    • 동양유니텍

    • 스피어AX

    • 투윈스컴

    • 아이리스아이디

    • 한결피아이에프

    • 유에치디프로

    • 위트콘

    • 주식회사 에스카

    • 포엠아이텍

    • 세렉스

    • 안랩

    • 이글루코퍼레이션

    • 엔피코어

    • 시만텍

    • 트렐릭스

    • 스텔라사이버

    • 신우테크
      팬틸드 / 하우징

    • 에프에스네트워크

    • 미래시그널

    • 케이제이테크

    • 알에프코리아

    • 유투에스알

    • 아이엔아이

    • (주)일산정밀

    • 새눈

    • 에스에스티랩

    • 이스트컨트롤

    • 태정이엔지

    • 네티마시스템

    • 구네보코리아주식회사

    • 티에스아이솔루션

    • 넥스텝

    • 한국씨텍

    • 두레옵트로닉스

    • 에이티앤넷

    • 넥스트림

    • 에이앤티글로벌

    • 현대틸스
      팬틸트 / 카메라

    • 지에스티엔지니어링
      게이트 / 스피드게이트

    • 엘림광통신

    • 보문테크닉스

    • 포커스에이치앤에스

    • 신화시스템

    • 휴젠

    • 이오씨

    • 글로넥스

    • 메트로게이트
      시큐리티 게이트

    • 세환엠에스(주)

    • 유진시스템코리아

    • 카티스

    • 유니온커뮤니티

Copyright thebn Co., Ltd. All Rights Reserved.

MENU

회원가입

Passwordless 설정

PC버전

닫기