SideCopy Explora Falha do WinRAR em Ataques direcionados a Entidades do Governo Indiano
7 de Novembro de 2023

O ator de ameaça associado ao Paquistão, conhecido como SideCopy, foi observado aproveitando a recente vulnerabilidade de segurança do WinRAR em seus ataques direcionados a entidades governamentais indianas para entregar vários trojans de acesso remoto, como AllaKore RAT, Ares RAT e DRat.

A empresa de segurança empresarial SEQRITE descreveu a campanha como multiplataforma, com os ataques também projetados para infiltrar sistemas Linux com uma versão compatível do Ares RAT.

SideCopy, ativo desde pelo menos 2019, é conhecido por seus ataques a entidades indianas e afegãs.

É suspeito de ser um subgrupo da Transparent Tribe (também conhecido como APT36).

"Ambos, SideCopy e APT36, compartilham infraestrutura e código para atacar agressivamente a Índia", disse o pesquisador da SEQRITE, Sathwik Ram Prakki, em um relatório de segunda-feira.

Em maio deste ano, o grupo foi vinculado a uma campanha de phishing que se aproveitou de iscas relacionadas à Organização de Pesquisa e Desenvolvimento de Defesa da Índia (DRDO) para entregar malware de roubo de informações.

Desde então, o SideCopy também foi implicado em um conjunto de ataques de phishing direcionados ao setor de defesa indiano com anexos de arquivo ZIP para propagar o Action RAT e um novo trojan baseado em .NET que suporta 18 comandos diferentes.

As novas campanhas de phishing detectadas pela SEQRITE incluem duas cadeias de ataque diferentes, cada uma direcionada a sistemas operacionais Linux e Windows.

A primeira gira em torno de um binário ELF baseado em Golang que abre o caminho para uma versão Linux do Ares RAT capaz de enumerar arquivos, tirar screenshots e fazer download e upload de arquivos, entre outros.
A segunda campanha, por outro lado, envolve a exploração do CVE-2023-38831 , uma falha de segurança na ferramenta de arquivamento WinRAR, para disparar a execução de código malicioso, levando ao desdobramento de AllaKore RAT, Ares RAT e dois novos trojans chamados DRat e Key RAT.
"[AllaKore RAT] tem a função de roubar informações do sistema, registrar teclas, tirar screenshots, fazer upload e download de arquivos e acessar remotamente a máquina da vítima para enviar comandos e fazer upload de dados roubados para o C2", disse Ram Prakki.

DRat é capaz de processar até 13 comandos do servidor C2 para coletar dados do sistema, baixar e executar cargas úteis adicionais e realizar outras operações de arquivos.

O direcionamento do Linux não é coincidência e provavelmente é motivado pela decisão da Índia de substituir o Microsoft Windows por uma versão Linux chamada Maya OS em todos os setores governamentais e de defesa.

"Ao expandir seu arsenal com vulnerabilidade de dia zero, o SideCopy constantemente tem como alvo organizações de defesa indianas com vários trojans de acesso remoto", disse Ram Prakki.

"O APT36 está expandindo constantemente seu arsenal Linux, onde se observa o compartilhamento de seus estágios Linux com o SideCopy para implementar um RAT Python de código aberto chamado Ares."

Publicidade

Pentest do Zero ao Profissional

O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...