European Energy Sector Organization Targeted by PupyRAT Malware in Late 2019

European Energy Sector Organization Targeted by PupyRAT Malware in Late 2019

This report is based on proprietary Recorded Future network traffic analysis of RAT controllers detected using signatures developed by Insikt Group researchers. The period of analysis covers November 28, 2019 through January 5, 2020.

This report will primarily be of interest to SOC analysts and threat intelligence professionals in organizations operating in the energy sector who are conducting threat hunting assignments relating to malware used by Iranian nation-state threat actors.

Au cours de l'année dernière, les recherches menées par Recorded Future ont démontré que des groupes liés à l'Iran, dont peut-être APT33 (également appelé Elfin), ont activement développé une infrastructure réseau opérationnelle tout au long de l'année 2019. De plus, en novembre 2019, Microsoft a révélé que l'APT33 avait déplacé son attention des réseaux informatiques vers les systèmes de contrôle physique utilisés dans les services publics d'électricité, l'industrie manufacturière et les raffineries de pétrole. Nous avons également constaté que des groupes liés à l'État iranien utilisaient largement des logiciels malveillants courants et facilement accessibles pour mener des intrusions actives sur les réseaux. Ces outils sont généralement destinés à être utilisés dans le cadre d'exercices de red teaming défensifs. L'un des outils utilisés par plusieurs groupes liés à l'Iran est PupyRAT.

Using Recorded Future remote access trojan (RAT) controller detections and network traffic analysis techniques, Insikt Group identified a PupyRAT command and control (C2) server communicating with a mail server for a European energy sector organization from late November 2019 until at least January 5, 2020. While metadata alone does not confirm a compromise, we assess that the high volume and repeated communications from the targeted mail server to a PupyRAT C2 are sufficient to indicate a likely intrusion.

PupyRAT est un RAT open source disponible sur Github. Selon son développeur, il s'agit d'un « outil RAT et post-exploitation multiplateforme et multifonctionnel principalement écrit en Python ». Il a déjà été utilisé par les groupes iraniens APT33 (Elfin, Magic Hound, HOLMIUM) et COBALT GYPSY (qui recoupe APT34/OilRig).

Although this commodity RAT, PupyRAT, is known to have been used by Iranian threat actor groups APT33 and COBALT GYPSY, we cannot confirm whether the PupyRAT controller we identified is used by either Iranian group. Whoever the attacker is, the targeting of a mail server at a high-value critical infrastructure organization could give an adversary access to sensitive information on energy allocation and resourcing in Europe.

Le ciblage d'une organisation clé du secteur énergétique européen revêt un intérêt particulier compte tenu de son rôle dans la coordination des ressources énergétiques européennes. Des groupes iraniens (et d'autres) ont ciblé un large éventail d'industries aux États-Unis et en Europe. Des rapports récents indiquent une augmentation des attaques visant les logiciels de contrôle industriel du secteur de l'énergie.

We emphasize that this activity predates the recent escalation of kinetic activity between the U.S. and Iran, and therefore likely relates to espionage-motivated intrusion activity or the prepositioning of network access within a high-value network in the European energy sector.

To defend against commodity RATs such as PupyRAT and others, Recorded Future recommends that organizations: