El actor de amenazas vinculado a Pakistán conocido como Copia lateral Se ha observado que aprovecha la reciente vulnerabilidad de seguridad de WinRAR en sus ataques dirigidos a entidades gubernamentales de la India para entregar varios troyanos de acceso remoto como AllaKore RAT, Ares RAT y DRat.
La empresa de seguridad empresarial SEQRITE describió la campaña como multiplataforma, y los ataques también fueron diseñados para infiltrarse en sistemas Linux con una versión compatible de Ares RAT.
SideCopy, activo desde al menos 2019, es conocido por su ataques sobre entidades indias y afganas. Se sospecha que es un subgrupo del actor de la Tribu Transparente (también conocido como APT36).
«Tanto SideCopy como APT36 comparten infraestructura y código para apuntar agresivamente a la India», investigador de SEQRITE Sathwik Ram Prakki dicho en un informe del lunes.
A principios de mayo, el grupo fue vinculado a una campaña de phishing que aprovechó señuelos relacionados con la Organización de Investigación y Desarrollo de Defensa (DRDO) de la India para entregar malware que roba información.
Desde entonces, SideCopy también ha sido implicado en una serie de ataques de phishing dirigidos al sector de defensa indio con archivos adjuntos ZIP para propagar Action RAT y un nuevo troyano basado en .NET que admite 18 comandos diferentes.
Las nuevas campañas de phishing detectadas por SEQRITE implican dos cadenas de ataque diferentes, cada una dirigida a los sistemas operativos Linux y Windows.
El primero gira en torno a un binario ELF basado en Golang que allana el camino para una versión Linux de Ares RATA que es capaz de enumerar archivos, tomar capturas de pantalla y descargar y cargar archivos, entre otros.
La segunda campaña, por otro lado, implica la explotación de CVE-2023-38831, una falla de seguridad en la herramienta de archivo WinRAR, para desencadenar la ejecución de código malicioso, lo que llevó al despliegue de AllaKore RAT, Ares RAT y dos nuevos troyanos llamados DRat y Key RAT.
«[AllaKore RAT] tiene la funcionalidad de robar información del sistema, registrar teclas, tomar capturas de pantalla, cargar y descargar archivos, y tomar acceso remoto de la máquina víctima para enviar comandos y cargar datos robados al C2», dijo Ram Prakki.
DRat es capaz de analizar hasta 13 comandos del servidor C2 para recopilar datos del sistema, descargar y ejecutar cargas útiles adicionales y realizar otras operaciones de archivos.
El objetivo de Linux no es una coincidencia y probablemente esté motivado por la decisión de la India de reemplazar Microsoft Windows con una versión de Linux llamada Maya OS en los sectores gubernamental y de defensa.
«Al ampliar su arsenal con vulnerabilidad de día cero, SideCopy apunta constantemente a las organizaciones de defensa indias con varios troyanos de acceso remoto», dijo Ram Prakki.
«APT36 está expandiendo su arsenal de Linux constantemente, donde se observa que compartir sus etapas de Linux con SideCopy implementa una RAT Python de código abierto llamada Ares».