Pupy - это штамм вредоносной программы RAT, который является кросс-платформенным и имеет открытый исходный код. Он широко используется злоумышленниками, включая APT-группы, и был использован в различных атаках, включая операцию "Земля Берберока", направленную на сайты онлайн-гемблинга. Недавно был обнаружен новый штамм вредоносной программы под названием Decoy Dog, который является обновленной версией Pupy RAT и использовался в атаках на корпоративные сети в России и Восточной Европе.
Pupy RAT написан на языках C и Python и поддерживает операционные системы Windows, Linux, Mac OSX и Android. Он обладает основными функциями RAT, такими как выполнение команд, работа с файлами и процессами, загрузка и выгрузка файлов, а также кража информации, такая как захват скриншотов и кейлоггинг. Отличительной особенностью Pupy RAT является поддержка модулей пост-эксплойта, позволяющих осуществлять дополнительные атаки, такие как повышение привилегий и кража учетных данных.
В случаях атак на страны Азии, вредоносное ПО, предположительно созданное и распространяемое одним угрожающим субъектом, было обнаружено в азиатских странах, включая Тайвань, Гонконг, Сингапур, Японию и Таиланд. Атаки продолжались с 2021 года и до сих пор штамм вредоносной программы доступен для загрузки. Вредоносное ПО было обнаружено под различными именами, такими как "nptd" или "kworker", и использовалось для загрузки и использования в качестве C&C-серверов.
Анализ атак на Южную Корею показал, что Pupy RAT активно распространялась вместе с другим бэкдором PlugX, который широко используется группами APT-угроз в Китае с 2008 года. Также был случай загрузки Pupy RAT на закрытый корейский сайт обмена утилитами Windows. Несмотря на то, что конкретный путь заражения не был установлен, это свидетельствует о широком распространении Pupy RAT и его использовании в целенаправленных атаках.
Широкий спектр поддерживаемых операционных систем и возможность выполнения различных команд делают ее очень гибкой и опасной. Частые обновления и использование различных имен и путей позволяют ей избегать обнаружения и продолжать свою деятельность. Чрезвычайная активность в странах Азии свидетельствует о том, что Pupy RAT является серьезной угрозой для региона и требует повышенного внимания и мер безопасности.
Indicators of Compromise
IPv4 Port Combinations
- 45.32.16.248:443
- 45.32.8.143:443
Domain Port Combinations
- 86.cdn-api.848820.com.bk1233.com:443
- 86.cdn-api.848820.com:443
- cache.cacti.api-cloudflare.com:443
- gitall14-api.microsoft-shop.com:443
- gitall18-api.microsoft-shop.com:443
- gitall-api.microsoft-shop.com:443
- hele.hkcdn.api-cloudflare.com:443
- imag.awscnd.api-alipay.com:443
- img.law.api-cloudflare.com:443
- java.git.microsoft-shop.com:443
- jvp21.api-cloudflare.com:443
- jvp23.api-cloudflare.com:443
- lw.cdn-image.microsoft-shop.com.bk1233.com:443
- lw.cdn-image.microsoft-shop.com:443
- pyq-pro.update.microsoft-shop.com.bk1233.com:443
- pyq-pro.update.microsoft-shop.com:443
- safe.0xhu.com:443
- translate.cache01.mfath.ugliquarie.com:443
- ue20.angc.blinktron.com.bk1233.com:443
- ue20.angc.blinktron.com:443
URLs
- api1-cdn.com/jquery-3.3.1.min.js:443
- http://45.32.16.248/adobe.dll
- http://45.32.16.248/lvmetad
- http://api.api2-cdn.com/kworker9t8b
- http://api.api-alipay.com/kworker0ytj
- http://api.api-alipay.com/kworker37yu
- http://api.api-alipay.com/kworker54c8
- http://api.api-alipay.com/kworkergo79
- http://api.api-alipay.com/kworkerqxnz
- http://api.api-alipay.com/kworkers0id
- http://api2-cdn.com/kworker9t8b
- http://www.atfile.com/includephp/newp4.so
MD5
- 1358d7f17b0882a38a3cfa88df256fc1
- 16b088b75442e247a8c53161a8a130b0
- 1738429d3737b22d52b442c4faef50a1
- 2c802c1fac3b0035b2a79cbd56510caa
- 2f378559b835cbe9ec9874baec73a578
- 3eb3591c8c5d0a5a32dc24f91d6fe7fb
- 4c1124695279dd41c0b789235dbabf08
- 4eb6509cf46d480647556105b42b4bee
- 504612eaebc2660c4ac00f5db1d24fca
- 5ab182b00e674cea319e2152e7c3558f
- 64802dd9446be23d7188fb87426866cb
- 6a0a68b75ad2f087c1a566a6e3de1a28
- 71ca0622043a7dec95bb4514ce14d627
- 73a6b6e84caf0f12782b70ece7bd60de
- 74199f5ca6421ade97cc511651fa2e4b
- 9efdf13b1eee7b0c626d785b17cd5c95
- cd206fff363bb5543fc67ed9a9bbe496
- ef13037b082e9e1dfe39ae5cf9d101e3
- ef7651bbbf3f05234f2b1d5e30103588
- f35f7a7fb6c4352510c4f7a448e6ba03
- f50d7a7bc104d87d6a4a9e2f4e1beedc