SideCopy Explora Falha do WinRAR em Ataques direcionados a Entidades do Governo Indiano
7 de Novembro de 2023

O ator de ameaça associado ao Paquistão, conhecido como SideCopy, foi observado aproveitando a recente vulnerabilidade de segurança do WinRAR em seus ataques direcionados a entidades governamentais indianas para entregar vários trojans de acesso remoto, como AllaKore RAT, Ares RAT e DRat.

A empresa de segurança empresarial SEQRITE descreveu a campanha como multiplataforma, com os ataques também projetados para infiltrar sistemas Linux com uma versão compatível do Ares RAT.

SideCopy, ativo desde pelo menos 2019, é conhecido por seus ataques a entidades indianas e afegãs.

É suspeito de ser um subgrupo da Transparent Tribe (também conhecido como APT36).

"Ambos, SideCopy e APT36, compartilham infraestrutura e código para atacar agressivamente a Índia", disse o pesquisador da SEQRITE, Sathwik Ram Prakki, em um relatório de segunda-feira.

Em maio deste ano, o grupo foi vinculado a uma campanha de phishing que se aproveitou de iscas relacionadas à Organização de Pesquisa e Desenvolvimento de Defesa da Índia (DRDO) para entregar malware de roubo de informações.

Desde então, o SideCopy também foi implicado em um conjunto de ataques de phishing direcionados ao setor de defesa indiano com anexos de arquivo ZIP para propagar o Action RAT e um novo trojan baseado em .NET que suporta 18 comandos diferentes.

As novas campanhas de phishing detectadas pela SEQRITE incluem duas cadeias de ataque diferentes, cada uma direcionada a sistemas operacionais Linux e Windows.

A primeira gira em torno de um binário ELF baseado em Golang que abre o caminho para uma versão Linux do Ares RAT capaz de enumerar arquivos, tirar screenshots e fazer download e upload de arquivos, entre outros.
A segunda campanha, por outro lado, envolve a exploração do CVE-2023-38831 , uma falha de segurança na ferramenta de arquivamento WinRAR, para disparar a execução de código malicioso, levando ao desdobramento de AllaKore RAT, Ares RAT e dois novos trojans chamados DRat e Key RAT.
"[AllaKore RAT] tem a função de roubar informações do sistema, registrar teclas, tirar screenshots, fazer upload e download de arquivos e acessar remotamente a máquina da vítima para enviar comandos e fazer upload de dados roubados para o C2", disse Ram Prakki.

DRat é capaz de processar até 13 comandos do servidor C2 para coletar dados do sistema, baixar e executar cargas úteis adicionais e realizar outras operações de arquivos.

O direcionamento do Linux não é coincidência e provavelmente é motivado pela decisão da Índia de substituir o Microsoft Windows por uma versão Linux chamada Maya OS em todos os setores governamentais e de defesa.

"Ao expandir seu arsenal com vulnerabilidade de dia zero, o SideCopy constantemente tem como alvo organizações de defesa indianas com vários trojans de acesso remoto", disse Ram Prakki.

"O APT36 está expandindo constantemente seu arsenal Linux, onde se observa o compartilhamento de seus estágios Linux com o SideCopy para implementar um RAT Python de código aberto chamado Ares."

Publicidade

Proteja sua empresa contra hackers através de um Pentest

Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...