SideCopy 在针对印度政府实体的攻击中利用 WinRAR 漏洞

据观察，与巴基斯坦有关的威胁行为者SideCopy在针对印度政府实体的攻击中利用最近的 WinRAR 安全漏洞来传播各种远程访问木马，例如 AllaKore RAT、Ares RAT 和 DRat。

企业安全公司 SEQRITE 将该活动描述为多平台攻击，这些攻击还旨在通过兼容版本的 Ares RAT 渗透 Linux 系统。

SideCopy 至少从 2019 年开始活跃，以攻击印度和阿富汗实体而闻名。它被怀疑是透明部落（又名 APT36）演员的一个子团体。

SEQRITE 研究员 Sathwik Ram Prakki在周一的一份报告中表示：“SideCopy 和 APT36 共享基础设施和代码，以积极瞄准印度。”

今年 5 月初，该组织与一次网络钓鱼活动有关，该活动利用与印度国防研究与发展组织 (DRDO) 相关的诱饵来传播信息窃取恶意软件。

此后，SideCopy 还参与了一系列针对印度国防部门的网络钓鱼攻击，这些攻击通过 ZIP 存档附件传播 Action RAT 和支持 18 种不同命令的基于 .NET 的新特洛伊木马。

SEQRITE 检测到的新网络钓鱼活动涉及两个不同的攻击链，每个攻击链都针对 Linux 和 Windows 操作系统。

前者围绕基于 Golang 的 ELF 二进制文件，为 Linux 版本的Ares RAT铺平了道路，该版本能够枚举文件、截屏以及文件下载和上传等。

另一方面，第二个活动需要利用WinRAR 归档工具中的安全漏洞CVE-2023-38831来触发恶意代码的执行，从而导致部署 AllaKore RAT、Ares RAT 和两个新的 RAT。称为 DRat 和 Key RAT 的木马。

Ram Prakki 表示：“[AllaKore RAT] 具有窃取系统信息、键盘记录、截取屏幕截图、上传和下载文件以及远程访问受害计算机以发送命令并将窃取的数据上传到 C2 的功能。”

DRat 能够解析来自 C2 服务器的多达 13 个命令，以收集系统数据、下载和执行其他有效负载以及执行其他文件操作。

针对 Linux 的攻击并非巧合，其动机很可能是印度政府和国防部门决定用名为 Maya OS 的 Linux 版本取代 Microsoft Windows。

Ram Prakki 表示：“SideCopy 通过零日漏洞扩展其武器库，持续利用各种远程访问木马来针对印度国防组织。”

“APT36 正在不断扩展其 Linux 武器库，据观察，APT36 与 SideCopy 共享其 Linux stagers，以部署名为 Ares 的开源 Python RAT。”