SideCopy利用WinRAR缺陷对印度政府进行攻击

近日，疑似与巴基斯坦有关的威胁行为者SideCopy在针对印度政府实体的攻击中利用最近的WinRAR安全漏洞，提供各种远程访问木马，如AllaKore RAT、Ares RAT和DRat。企业安全公司SECRITE将此次活动描述为多平台，攻击还旨在渗透到兼容版本Ares RAT的Linux系统中。

SideCopy至少自2019年以来一直活跃，以其对印度和阿富汗实体的攻击而闻名。它被怀疑是透明部落（又名APT36）的一个子团体。

SECRITE研究员Sathwik Ram Prakki在周一的一份报告中表示：“SideCopy和APT36共享基础设施和代码，以积极瞄准印度。”

今年5月早些时候，该组织与一场网络钓鱼活动有关，该活动利用与印度国防研究与发展组织（DRDO）有关的诱惑，发布窃取信息的恶意软件。从那时起，SideCopy还卷入了一系列针对印度国防部门的网络钓鱼攻击，这些攻击使用ZIP存档附件来传播Action RAT和一种支持18种不同命令的新的基于NET的特洛伊木马。

SECRITE检测到的新网络钓鱼活动涉及两个不同的攻击链，每个攻击链都针对Linux和Windows操作系统。

SideCopy利用WinRAR缺陷

前者围绕着一个基于Golang的ELF二进制文件展开，该二进制文件为Ares RAT的Linux版本铺平了道路，该版本能够枚举文件、截屏、文件下载和上传等。

另一方面，第二次行动需要利用WinRAR存档工具中的安全漏洞CVE-2023-38831来触发恶意代码的执行，从而部署AllaKore RAT、Ares RAT以及两个名为DRat和Key RAT的新特洛伊木马。

Ram Prakki说：“AllaKore RAT具有窃取系统信息、键盘记录、截屏、上传和下载文件的功能，并可以远程访问受害者机器发送命令并将被盗数据上传到C2。”

DRat能够解析来自C2服务器的多达13个命令，以收集系统数据、下载和执行额外的有效载荷，以及执行其他文件操作。

Linux的目标并非巧合，很可能是因为印度决定在政府和国防部门用名为Maya OS的Linux版本取代微软Windows。

Ram Prakki说：“SideCopy利用零日漏洞扩大了其武器库，一直用各种远程访问木马攻击印度国防组织。”

“APT36正在不断扩大其Linux武器库，据观察，与SideCopy共享其Linux stagers可以部署一种名为Ares的开源Python RAT。”