SideCopy 在针对印度政府实体的攻击中利用 WinRAR 漏洞

阅读量160805

发布时间 : 2023-11-08 11:58:57

据观察,与巴基斯坦有关的威胁行为者SideCopy在针对印度政府实体的攻击中利用最近的 WinRAR 安全漏洞来传播各种远程访问木马,例如 AllaKore RAT、Ares RAT 和 DRat。

企业安全公司 SEQRITE 将该活动描述为多平台攻击,这些攻击还旨在通过兼容版本的 Ares RAT 渗透 Linux 系统。

SideCopy 至少从 2019 年开始活跃,以攻击印度和阿富汗实体而闻名。它被怀疑是透明部落(又名 APT36)演员的一个子团体。

SEQRITE 研究员 Sathwik Ram Prakki在周一的一份报告中表示:“SideCopy 和 APT36 共享基础设施和代码,以积极瞄准印度。”

今年 5 月初,该组织与一次网络钓鱼活动有关,该活动利用与印度国防研究与发展组织 (DRDO) 相关的诱饵来传播信息窃取恶意软件。

此后,SideCopy 还参与了一系列针对印度国防部门的网络钓鱼攻击,这些攻击通过 ZIP 存档附件传播 Action RAT 和支持 18 种不同命令的基于 .NET 的新特洛伊木马。

SEQRITE 检测到的新网络钓鱼活动涉及两个不同的攻击链,每个攻击链都针对 Linux 和 Windows 操作系统。

SideCopy 利用 WinRAR 缺陷

前者围绕基于 Golang 的 ELF 二进制文件,为 Linux 版本的Ares RAT铺平了道路,该版本能够枚举文件、截屏以及文件下载和上传等。

另一方面,第二个活动需要利用WinRAR 归档工具中的安全漏洞CVE-2023-38831来触发恶意代码的执行,从而导致部署 AllaKore RAT、Ares RAT 和两个新的 RAT。称为 DRat 和 Key RAT 的木马。

Ram Prakki 表示:“[AllaKore RAT] 具有窃取系统信息、键盘记录、截取屏幕截图、上传和下载文件以及远程访问受害计算机以发送命令并将窃取的数据上传到 C2 的功能。”

DRat 能够解析来自 C2 服务器的多达 13 个命令,以收集系统数据、下载和执行其他有效负载以及执行其他文件操作。

针对 Linux 的攻击并非巧合,其动机很可能是印度政府和国防部门决定用名为 Maya OS 的 Linux 版本取代 Microsoft Windows。

Ram Prakki 表示:“SideCopy 通过零日漏洞扩展其武器库,持续利用各种远程访问木马来针对印度国防组织。”

“APT36 正在不断扩展其 Linux 武器库,据观察,APT36 与 SideCopy 共享其 Linux stagers,以部署名为 Ares 的开源 Python RAT。”

本文由安全客原创发布

转载,请参考转载声明,注明出处: https://www.anquanke.com/post/id/291279

安全客 - 有思想的安全新媒体

分享到:微信
+117赞
收藏
安全客
分享到:微信

发表评论

内容需知
合作单位
  • 安全客
  • 安全客
Copyright © 北京奇虎科技有限公司 三六零数字安全科技集团有限公司 安全客 All Rights Reserved 京ICP备08010314号-66