Pupy RAT napada Linux sisteme

Pupy trojanac za daljinski pristup (eng. Remote Access Trojan – RAT) je svestrani i prikriveni zlonamjerni softver koji je postao poznat među zlonamjernim akterima zbog svog širokog spektra mogućnosti. Prvobitno objavljen na platformi GitHub, ovaj zlonamjerni softver otvorenog kôda  podržava različite operativne sisteme uključujući Windows i Linux, i u ograničenom stepenu Mac OSX  i Android operativne sisteme.

Pupy RAT napada Linux sisteme; Source: Bing Image Creator

PUPY RAT

Pupy RAT je prvi put objavljen na GitHub platformi i napisan u C i Python programskim jezicima. Podržava Windows i Linux operativne sisteme, a takođe može da podrži Mac OSX  i Android u ograničenom stepenu. Pošto je to RAT (trojanac za daljinski pristup) zlonamjerni softver, on nudi funkcije kao što su izvršavanje komandi, rukovanje datotekama i procesima, kao i otpremanje i preuzimanje datoteka. Pupy RAT zlonamjerni softver su koristili različiti zlonamjerni akteri, uključujući APT35 (za koje se kaže da ima veze sa Iranom), a takođe je korišćen u operaciji Earth Berberoka koja je ciljala internet stranice za kockanje. Nedavno je otkrivena ažurirana verzija pod nazivom Decoy Dog.

Distribucija

Distribucija Pupy RAT zlonamjernog softvera obično podrazumijeva upotrebu phishing poruka elektronske pošte ili kompleta za eksploataciju koji isporučuju zlonamjerne sadržaje koji sadrže zlonamjerni softver. U jednoj poznatoj kampanji protiv južnokorejskih organizacija, napadači su koristili elektronske poruke za krađu identiteta sa priloženim Microsoft Office dokumentom koji sadrži ugrađeni makro koji je preuzeo i instalirao Pupy RAT na sistem korisnika.

Drugi metod distribucije uključuje iskorišćavanje ranjivosti u internet aplikacijama ili pregledačima za isporuku zlonamjernog softvera. Na primjer, poznato je da napadači koriste komplete za eksploataciju kao što su Angler i Neutrino kompleta za eksploataciju za distribuciju Pupy RAT zlonamjernog softvera ciljajući softver bez odgovarajućih ažuriranja na ranjivim internet lokacijama.

Mogućnosti

Pupy RAT je multifunkcionalni zlonamjerni softver koji zlonamjerni akteri koriste za razne zlonamjerne aktivnosti. Jednom instaliran, on uspostavlja stalnu vezu sa svojim serverom za komandu i kontrolu (C&C) i omogućava napadačima da izvrše brojne zlonamjerne radnje, uključujući otpremanje/preuzimanje datoteka, daljinsko izvršavanje komandi, krađu informacija, vođenje evidencije i snimanje ekrana. To ga čini značajnim rizikom za sajber bezbjednost pojedinca i organizacije. Svestranost i prikrivenost ovog zlonamjernog softvera učinili su ga popularnim izborom među zlonamjernim akterima u nedavnim azijskim kampanjama usmjerenim na Linux sisteme.

Kampanja

Pupy RAT zlonamjerni softver se koristi za napad u azijskom regionu od 2021. godine i vjeruje se da ga izvršava isti zlonamjerni akter, zaključeno na osnovu sličnosti između uzorka. Međutim, u posljednje vrijeme, došlo je do alarmantnog porasta u upotrebi Pupy RAT zlonamjernog softvera za napade na Linux sisteme, posebno u azijskim zemljama, uključujući Tajvan, Hong Kong, Singapur, Japan i Tajland.

ZAKLJUČAK

Pupy RAT je opasan i svestran zlonamjerni softver koji je stekao popularnost među zlonamjernim akterima zbog širokog spektra mogućnosti. Sa nedavnim porastom napada na Linux operativne sisteme, neophodno je da pojedinci i organizacije budu svjesni ove prijetnje i preduzmu proaktivne mjere da se zaštite. Korisnici treba da budu informisani o najnovijim prijetnjama i da primjene robusne bezbjednosne prakse, što može značajno smanjiti rizik od infekcije Pupy RAT zlonamjernim softverom.

ZAŠTITA

Pupy RAT zlonamjerni softver naglašava važnost razumijevanja zaštite korisnika ili poslovnih organizacija. U nastavku će biti navedene neke efikasne strategije za zaštitu od Pupy RAT  zlonamjernog softvera i drugih sličnih prijetnji:

1. Osnov odbrane u sajber bezbjednosti je obezbjeđivanje da svi sistemi budu ažurirani sa najnovijim sistemskim ispravkama i bezbjednosnim ispravkama. Za korisnike Linux operativnih sistema, ovo podrazumijeva redovno ažuriranje spremišta paketa i primjenu softverskih ažuriranja čim postanu dostupne. Korisnici Windows operativnog sistema takođe treba da daju prioritet instaliranju kritičnih ažuriranja sistema i aplikacija kako bi sveli ranjivosti na minimum,
2. Primjena naprednih rješenja za otkrivanje prijetnji je od suštinskog značaja za ranu identifikaciju potencijalnih Pupy RAT infekcija. Ovi alati mogu analizirati mrežni saobraćaj, prate ponašanje korisnika i otkrivaju anomalnu aktivnost koja može ukazivati na kompromis. Linux distribucije poput Ubuntu nude ugrađene bezbjednosne funkcije kao što su AppArmor i SELinux, koje pomažu u sprečavanju neovlaštenog pristupa osjetljivim datotekama ili sistemskim resursima,
3. Phishing napadi i taktike društvenog inženjeringa su uobičajene metode koje koriste zlonamjerni akteri za distribuciju zlonamjernog softvera kao što je Pupy RAT. Redovna edukacija korisnika o rizicima ovih prijetnji i tome kako da identifikuju sumnjive elektronske poruke, linkove ili priloge je ključna za održavanje snažnog stava sajber bezbjednosti. Potrebno je podstaći zaposlene da provjere identitet pošiljalaca elektronske pošte, izbjegavaju da kliknu na neprovjerene veze i prijave IT osoblju bilo kakve sumnjive pokušaje krađe identiteta,
4. Implementacija autentifikacije u više koraka (eng. multi-factor authentication – MFA) dodaje dodatni sloj sigurnosti za korisničke naloge, što otežava napadačima da dobiju pristup čak i ako uspiju da dobiju lozinku putem društvenog inženjeringa ili drugih sredstava. MFA zahteva od korisnika da obezbijede dva ili više oblika provjere identiteta pre nego što se prijave u osjetljive sisteme ili aplikacije,
5. Redovno pravljenje rezervnih kopija je od suštinskog značaja za minimiziranje uticaja potencijalnog gubitka podataka usljed Pupy RAT infekcija ili drugih sajber prijetnji. Potrebno je osigurati da se redovno i bezbjedno prave rezervne kopije svih kritičnih podataka, po mogućnosti korištenjem usluga zasnovanih na oblaku sa jakom enkripcijom i kontrolom pristupa,
6. Primjena segmentacije mreže može pomoći u ograničavanju širenja zlonamjernog softvera kao što je Pupy RAT unutar infrastrukture organizacije. Odvajanjem različitih dijelova mreže u izolovane segmente, možete smanjiti površinu napada i minimizirati potencijalnu štetu uzrokovanu uspješnom infekcijom,
7. Korišćenje tehnologija virtuelizacije ili kontejnera za pokretanje kritičnih aplikacija u izolovanim okruženjima može pomoći u sprečavanju Pupy RAT  zlonamjernog softvera da dobije pristup osjetljivim podacima ili sistemskim resursima. Ova rješenja omogućavaju organizacijama da kreiraju bezbjedna okruženja u zaštićenom okruženju gdje mogu da testiraju novi softver, aplikacije ili konfiguracije bez rizikovanja svojih proizvodnih sistema,
8. Redovno skeniranje ranjivosti mreže i infrastrukture je od suštinskog značaja za identifikaciju potencijalnih slabosti koje bi Pupy RAT ili drugi zlonamjerni softver mogao da iskoristi. Alati kao što su Nmap, OpenVAS i Qualys mogu pomoći da se identifikuju otvoreni portovi, zastareli softver, pogrešno konfigurisane usluge i drugi bezbjednosni problemi,
9.  Posjedovanje dobro definisanog plana za reagovanje na incidente je ključno za minimiziranje štete koju izaziva Pupy RAT ili bilo koja druga sajber prijetnja. Ovaj plan treba da navede jasne korake koje treba preduzeti kada dođe do infekcije, uključujući izolovanje zahvaćenih sistema, zadržavanje širenja zlonamjernog softvera i obavještavanje relevantnih zainteresovanih strana,
10. Održavanje kontinuiranog nadgledanja mreže i infrastrukture je od suštinskog značaja za rano otkrivanje i odgovor na potencijalne Pupy RAT infekcije ili druge sajber prijetnje. Alati kao što su Splunk, Elastic Stack i Sumo Logic  mogu pomoći u prikupljanju, analizi i povezivanju podataka dnevnika iz različitih izvora širom korisničkog okruženja, omogućavajući bržu identifikaciju prijetnji i sanaciju.