Pakistan bağlantılı tehdit aktörü Yan Kopya AllaKore RAT, Ares RAT ve DRat gibi çeşitli uzaktan erişim truva atlarını dağıtmak için Hint devlet kurumlarını hedef alan saldırılarda son WinRAR güvenlik açığından yararlanıldığı gözlemlendi.
Kurumsal güvenlik firması SEQRITE, saldırıların aynı zamanda Ares RAT’ın uyumlu bir sürümüne sahip Linux sistemlerine sızmak için tasarlanmış olduğu kampanyayı çoklu platform olarak tanımladı.
En az 2019’dan beri aktif olan SideCopy, bilinen onun için saldırılar Hindistan ve Afganistan kuruluşları hakkında. Şeffaf Kabile’nin (diğer adıyla APT36) bir alt grubu olduğundan şüpheleniliyor.
SEQRITE araştırmacısı Sathwik Ram Prakki, “Hem SideCopy hem de APT36, agresif bir şekilde Hindistan’ı hedeflemek için altyapıyı ve kodu paylaşıyor” söz konusu Pazartesi raporunda.
Bu Mayıs ayının başlarında grup, bilgi çalan kötü amaçlı yazılımlar dağıtmak için Hindistan Savunma Araştırma ve Geliştirme Örgütü (DRDO) ile ilgili tuzaklardan yararlanan bir kimlik avı kampanyasıyla ilişkilendirilmişti.
O zamandan beri SideCopy da karışmış Action RAT’ı ve 18 farklı komutu destekleyen yeni bir .NET tabanlı truva atını yaymak için ZIP arşiv ekleriyle Hindistan savunma sektörünü hedef alan bir dizi kimlik avı saldırısında.
SEQRITE tarafından tespit edilen yeni kimlik avı kampanyaları, her biri Linux ve Windows işletim sistemlerini hedef alan iki farklı saldırı zincirini içeriyor.
İlki, Linux sürümünün yolunu açan Golang tabanlı bir ELF ikili dosyası etrafında dönüyor. Ares RAT Bu, diğerlerinin yanı sıra dosyaları numaralandırma, ekran görüntüsü alma ve dosya indirme ve yükleme işlemlerini gerçekleştirebilir.
Öte yandan ikinci kampanya, WinRAR arşivleme aracındaki bir güvenlik kusuru olan CVE-2023-38831’in kötü amaçlı kodun yürütülmesini tetiklemek için kullanılmasını içeriyor ve bu da AllaKore RAT, Ares RAT ve iki yeni yazılımın konuşlandırılmasına yol açıyor. DRat ve Key RAT adı verilen truva atları.
“[AllaKore RAT] Ram Prakki, sistem bilgilerini çalma, keylogging, ekran görüntüleri alma, dosyaları yükleme ve indirme ve komutları göndermek ve çalınan verileri C2’ye yüklemek için kurban makinenin uzaktan erişimini alma işlevlerine sahip.” dedi.
DRat, sistem verilerini toplamak, ek yükleri indirmek ve yürütmek ve diğer dosya işlemlerini gerçekleştirmek için C2 sunucusundan 13’e kadar komutu ayrıştırma kapasitesine sahiptir.
Linux’un hedeflenmesi tesadüfi değildir ve muhtemelen Hindistan’ın hükümet ve savunma sektörlerinde Microsoft Windows’u Maya OS adı verilen bir Linux çeşidiyle değiştirme kararından kaynaklanmaktadır.
Ram Prakki, “Sıfır gün güvenlik açığıyla cephaneliğini genişleten SideCopy, çeşitli uzaktan erişim truva atlarıyla sürekli olarak Hindistan savunma kuruluşlarını hedef alıyor” dedi.
“APT36 Linux cephaneliğini sürekli olarak genişletiyor; Linux sahneleyicilerini SideCopy ile paylaşırken, Ares adında açık kaynaklı bir Python RAT dağıttığı gözlemleniyor.”