O ator de ameaça associado ao Paquistão, conhecido como SideCopy, foi observado aproveitando a recente vulnerabilidade de segurança do WinRAR em seus ataques direcionados a entidades governamentais indianas para entregar vários trojans de acesso remoto, como AllaKore RAT, Ares RAT e DRat.
A empresa de segurança empresarial SEQRITE descreveu a campanha como multiplataforma, com os ataques também projetados para infiltrar sistemas Linux com uma versão compatível do Ares RAT.
SideCopy, ativo desde pelo menos 2019, é conhecido por seus ataques a entidades indianas e afegãs.
É suspeito de ser um subgrupo da Transparent Tribe (também conhecido como APT36).
"Ambos, SideCopy e APT36, compartilham infraestrutura e código para atacar agressivamente a Índia", disse o pesquisador da SEQRITE, Sathwik Ram Prakki, em um relatório de segunda-feira.
Em maio deste ano, o grupo foi vinculado a uma campanha de phishing que se aproveitou de iscas relacionadas à Organização de Pesquisa e Desenvolvimento de Defesa da Índia (DRDO) para entregar malware de roubo de informações.
Desde então, o SideCopy também foi implicado em um conjunto de ataques de phishing direcionados ao setor de defesa indiano com anexos de arquivo ZIP para propagar o Action RAT e um novo trojan baseado em .NET que suporta 18 comandos diferentes.
As novas campanhas de phishing detectadas pela SEQRITE incluem duas cadeias de ataque diferentes, cada uma direcionada a sistemas operacionais Linux e Windows.
A primeira gira em torno de um binário ELF baseado em Golang que abre o caminho para uma versão Linux do Ares RAT capaz de enumerar arquivos, tirar screenshots e fazer download e upload de arquivos, entre outros.
A segunda campanha, por outro lado, envolve a exploração do
CVE-2023-38831
, uma falha de segurança na ferramenta de arquivamento WinRAR, para disparar a execução de código malicioso, levando ao desdobramento de AllaKore RAT, Ares RAT e dois novos trojans chamados DRat e Key RAT.
"[AllaKore RAT] tem a função de roubar informações do sistema, registrar teclas, tirar screenshots, fazer upload e download de arquivos e acessar remotamente a máquina da vítima para enviar comandos e fazer upload de dados roubados para o C2", disse Ram Prakki.
DRat é capaz de processar até 13 comandos do servidor C2 para coletar dados do sistema, baixar e executar cargas úteis adicionais e realizar outras operações de arquivos.
O direcionamento do Linux não é coincidência e provavelmente é motivado pela decisão da Índia de substituir o Microsoft Windows por uma versão Linux chamada Maya OS em todos os setores governamentais e de defesa.
"Ao expandir seu arsenal com vulnerabilidade de dia zero, o SideCopy constantemente tem como alvo organizações de defesa indianas com vários trojans de acesso remoto", disse Ram Prakki.
"O APT36 está expandindo constantemente seu arsenal Linux, onde se observa o compartilhamento de seus estágios Linux com o SideCopy para implementar um RAT Python de código aberto chamado Ares."
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...