L’acteur menaçant lié au Pakistan, connu sous le nom de Copie latérale a été observé en train d’exploiter la récente vulnérabilité de sécurité de WinRAR dans ses attaques ciblant des entités gouvernementales indiennes pour fournir divers chevaux de Troie d’accès à distance tels que AllaKore RAT, Ares RAT et DRat.
La société de sécurité d’entreprise SEQRITE a décrit la campagne comme étant multiplateforme, les attaques étant également conçues pour infiltrer les systèmes Linux dotés d’une version compatible d’Ares RAT.
SideCopy, actif depuis au moins 2019, est connu pour ses attaques contre des entités indiennes et afghanes. On soupçonne qu’il s’agit d’un sous-groupe de la Tribu Transparente (alias APT36).
« SideCopy et APT36 partagent l’infrastructure et le code pour cibler agressivement l’Inde », a déclaré Sathwik Ram Prakki, chercheur chez SEQRITE, dans un rapport publié lundi.
Plus tôt en mai, le groupe a été associé à une campagne de phishing qui a profité de leurres liés à l’Organisation indienne de recherche et de développement pour la défense (DRDO) pour diffuser des logiciels malveillants volant des informations.
Depuis lors, SideCopy a également été impliqué dans une série d’attaques de phishing ciblant le secteur de la défense indien avec des pièces jointes d’archives ZIP pour propager Action RAT et un nouveau cheval de Troie basé sur .NET prenant en charge 18 commandes différentes.
Les nouvelles campagnes de phishing détectées par SEQRITE impliquent deux chaînes d’attaque différentes, ciblant chacune les systèmes d’exploitation Linux et Windows.
Le premier tourne autour d’un binaire ELF basé sur Golang qui ouvre la voie à une version Linux d’Ares RAT capable d’énumérer des fichiers, de prendre des captures d’écran et de télécharger et télécharger des fichiers, entre autres.
La deuxième campagne, en revanche, implique l’exploitation de CVE-2023-38831, une faille de sécurité dans l’outil d’archivage WinRAR, pour déclencher l’exécution de code malveillant, conduisant au déploiement d’AllaKore RAT, Ares RAT et de deux nouveaux chevaux de Troie appelés DRat et Key RAT.
« [AllaKore RAT] a la fonctionnalité de voler des informations système, d’enregistrer des frappes, de prendre des captures d’écran, de télécharger et de télécharger des fichiers et d’accéder à distance à la machine victime pour envoyer des commandes et télécharger des données volées sur le C2 », a déclaré Ram Prakki.
DRat est capable d’analyser jusqu’à 13 commandes du serveur C2 pour collecter des données système, télécharger et exécuter des charges utiles supplémentaires et effectuer d’autres opérations sur les fichiers.
Le ciblage de Linux n’est pas une coïncidence et est probablement motivé par la décision de l’Inde de remplacer Microsoft Windows par une version Linux appelée Maya OS dans les secteurs du gouvernement et de la défense.
« En élargissant son arsenal avec une vulnérabilité Zero Day, SideCopy cible systématiquement les organisations de défense indiennes avec divers chevaux de Troie d’accès à distance », a déclaré Ram Prakki.
« APT36 étend constamment son arsenal Linux, où l’on observe le partage de ses stages Linux avec SideCopy pour déployer un RAT Python open source appelé Ares. »
