Pupy RAT, 오픈소스 악성코드로 APT 그룹·사이버 공격자 사이에서 꾸준히 사용돼
정보탈취 및 원격 명령 실행 등 감염 시스템 제어
[보안뉴스 박은주 기자] Pupy RAT(퓨피 Remote Administration Tool, 원격관리도구)를 사용한 사이버 공격이 우리나라를 비롯해 일본, 대만, 홍콩 등 아시아 국가를 대상으로 이어지고 있어 주의가 당부된다.
▲깃허브에 공개된 Pupy RAT[자료=ASEC]
안랩 시큐리티 인텔리전스 센터(ASEC)에 따르면 Pupy RAT은 C와 파이썬을 기반으로 제작됐다. 리눅스와 윈도우 운영체제를 지원하며, 제한적이지만 Mac OSX, Android 운영체제도 지원할 수 있다. C&C 서버로부터 명령을 받아 감염 시스템을 제어하는데, 명령 실행, 파일과 프로세스 작업, 파일 업로드 및 다운로드 등 기능을 지원한다. 이외에도 스크린샷 캡쳐, 키로깅과 같이 정보를 탈취할 수도 있다.
일반적인 RAT과 달리 Post Exploitation 모듈도 지원한다. 이를 통해 권한 상승이나 계정 정보 탈취, 측면 이동 같은 후속 공격을 할 수 있다. 오픈소스인 만큼 APT(Advanced Persistent Threat, 지능형 지속 공격) 그룹과 사이버 공격자가 꾸준히 사용하는 도구다.
▲Pupy RAT 특징 코드[자료=ASEC]
또 다른 특징 중 하나는 실행 프로세스 이름을 ‘/usr/sbin/atd’로 바꾸는 것이다. 보편적으로 리눅스 대상 악성코드는 존재를 숨기기 위해 이름을 정상 프로세스와 비슷하게 바꾸는 점과 유사하다.
Pupy RAT는 바이러스토탈(VirusTotal) 정보를 기준으로 ‘nptd’나 ‘kworker’를 위장한 이름으로 유포되고 있다. 특히 대만, 홍콩, 싱가포르 외에도 일본이나 태국 등 주로 아시아에서 수집됐다. 감염은 2021년부터 최근까지도 이어지고 있으며, 현재도 악성코드를 내려받을 수 있다. 공격자는 수년간 여러 개 주소를 활용해 악성코드를 올리고 C&C 서버로 사용했다.
▲동일한 공격자가 유포한 것으로 추정되는 코발트 스트라이크[자료=ASEC]
동일한 다운로드 및 C&C 서버 주소를 공유하는 악성코드 중에는 모의해킹 도구인 ‘코발트 스트라이크(Cobalt Strike)’도 발견됐다. 즉, 리눅스뿐만 아니라 윈도우 시스템을 공격 대상으로 삼았다는 증거다.
Pupy RAT은 국내에서도 꾸준히 수집된다. 공개된 IoC를 기준으로, 2019년 Pupy RAT이 PlugX와 함께 유포된 사례가 있다. PlugX는 중국 기반의 APT 공격 그룹이 사용하는 대표적인 백도어 악성코드다. 구체적인 감염 경로는 확인되지 않았지만, 2023년 서비스 중단된 국내 윈도우 유틸리티 공유 사이트에 Pupy RAT가 업로드되는 일도 있었다. 최근 Pupy RAT를 발전시킨 ‘Decoy Dog’라는 악성코드가 발견됐다. 이는 러시아와 동유럽 기업 네트워크 공격에 사용된 것으로 알려져 있다.
Pupy RAT과 더불어 악성코드로 인한 보안 위협을 예방하려면 취약한 환경 설정이나 인증 정보를 검사해야 한다. 관련 시스템을 항상 최신 버전으로 업데이트해 취약점 공격으로부터 보호해야 한다.
[박은주 기자([email protected])]
