Было замечено, что связанный с Пакистаном злоумышленник, известный как SideCopy, использует недавнюю уязвимость WinRAR в своих атаках на правительственные учреждения Индии для доставки различных троянов удаленного доступа, таких как AllaKore RAT, Ares RAT и DRat.
Компания по корпоративной безопасности SEQRITE описала кампанию как многоплатформенную, при этом атаки также были направлены на проникновение в системы Linux с помощью совместимой версии Ares RAT.
SideCopy, активная как минимум с 2019 года, известна своими атаками на организации Индии и Афганистана. Есть подозрение, что подгруппы из прозрачной племени (ака APT36) актер.
"И SideCopy, и APT36 совместно используют инфраструктуру и код для агрессивной атаки на Индию", - сказал исследователь SEQRITE Сатвик Рам Пракки в отчете, опубликованном в понедельник.
Ранее в мае этого года группа была связана с фишинговой кампанией, которая использовала приманки, связанные с индийской организацией оборонных исследований и разработок (DRDO), для доставки вредоносного ПО, похищающего информацию.
С тех пор SideCopy также была замешана в серии фишинговых атак, нацеленных на оборонный сектор Индии, с использованием ZIP-архивных вложений для распространения Action RAT и нового троянца на базе .NET, который поддерживает 18 различных команд.
Новые фишинговые кампании, обнаруженные SEQRITE, включают в себя две разные цепочки атак, каждая из которых нацелена на операционные системы Linux и Windows.
Первая из них основана на двоичном коде ELF на базе Golang, который прокладывает путь для Linux-версии Ares RAT, способной перечислять файлы, делать скриншоты, загружать файлы и многое другое.
Вторая кампания, с другой стороны, предполагает использование CVE-2023-38831, уязвимости безопасности в инструменте архивирования WinRAR, для запуска вредоносного кода, что приводит к развертыванию AllaKore RAT, Ares RAT и двух новых троянов под названием DRat и Key RAT.
"[AllaKore RAT] обладает функциональностью для кражи системной информации, ведения кейлоггинга, создания скриншотов, загрузки файлов и получения удаленного доступа к компьютеру жертвы для отправки команд и загрузки украденных данных на C2", - сказал Рам Пракки.
DRat способен анализировать до 13 команд с сервера C2 для сбора системных данных, загрузки и выполнения дополнительных полезных нагрузок, а также выполнения других файловых операций.
Нацеленность на Linux не случайна и, вероятно, мотивирована решением Индии заменить Microsoft Windows версией Linux под названием Maya OS в правительственном и оборонном секторах.
"Расширяя свой арсенал уязвимостей нулевого дня, SideCopy постоянно нацеливает на индийские оборонные организации различные троянские программы удаленного доступа", - сказал Рам Пракки.
"APT36 постоянно расширяет свой арсенал Linux, где наблюдается совместное использование своих Linux-платформ с SideCopy для развертывания Python RAT с открытым исходным кодом под названием Ares".
Компания по корпоративной безопасности SEQRITE описала кампанию как многоплатформенную, при этом атаки также были направлены на проникновение в системы Linux с помощью совместимой версии Ares RAT.
SideCopy, активная как минимум с 2019 года, известна своими атаками на организации Индии и Афганистана. Есть подозрение, что подгруппы из прозрачной племени (ака APT36) актер.
"И SideCopy, и APT36 совместно используют инфраструктуру и код для агрессивной атаки на Индию", - сказал исследователь SEQRITE Сатвик Рам Пракки в отчете, опубликованном в понедельник.
Ранее в мае этого года группа была связана с фишинговой кампанией, которая использовала приманки, связанные с индийской организацией оборонных исследований и разработок (DRDO), для доставки вредоносного ПО, похищающего информацию.
С тех пор SideCopy также была замешана в серии фишинговых атак, нацеленных на оборонный сектор Индии, с использованием ZIP-архивных вложений для распространения Action RAT и нового троянца на базе .NET, который поддерживает 18 различных команд.
Новые фишинговые кампании, обнаруженные SEQRITE, включают в себя две разные цепочки атак, каждая из которых нацелена на операционные системы Linux и Windows.
Первая из них основана на двоичном коде ELF на базе Golang, который прокладывает путь для Linux-версии Ares RAT, способной перечислять файлы, делать скриншоты, загружать файлы и многое другое.
Вторая кампания, с другой стороны, предполагает использование CVE-2023-38831, уязвимости безопасности в инструменте архивирования WinRAR, для запуска вредоносного кода, что приводит к развертыванию AllaKore RAT, Ares RAT и двух новых троянов под названием DRat и Key RAT.
"[AllaKore RAT] обладает функциональностью для кражи системной информации, ведения кейлоггинга, создания скриншотов, загрузки файлов и получения удаленного доступа к компьютеру жертвы для отправки команд и загрузки украденных данных на C2", - сказал Рам Пракки.
DRat способен анализировать до 13 команд с сервера C2 для сбора системных данных, загрузки и выполнения дополнительных полезных нагрузок, а также выполнения других файловых операций.
Нацеленность на Linux не случайна и, вероятно, мотивирована решением Индии заменить Microsoft Windows версией Linux под названием Maya OS в правительственном и оборонном секторах.
"Расширяя свой арсенал уязвимостей нулевого дня, SideCopy постоянно нацеливает на индийские оборонные организации различные троянские программы удаленного доступа", - сказал Рам Пракки.
"APT36 постоянно расширяет свой арсенал Linux, где наблюдается совместное использование своих Linux-платформ с SideCopy для развертывания Python RAT с открытым исходным кодом под названием Ares".
