SideCopy, Hindistan Devlet Kurumlarını Hedef Alan Saldırılarda WinRAR Kusurundan Yararlanıyor
SideCopy olarak bilinen Pakistan bağlantılı tehdit aktörünün, AllaKore RAT, Ares RAT ve DRat gibi çeşitli uzaktan erişim truva atları sağlamak için Hindistan devlet kurumlarını hedef alan saldırılarında son WinRAR güvenlik açığından yararlandığı gözlemlendi.
Kurumsal güvenlik firması SEQRITE, kampanyayı çok platformlu olarak nitelendirdi ve saldırılar aynı zamanda Ares RAT'ın uyumlu bir sürümüyle Linux sistemlerine sızmak için tasarlandı.
En az 2019'dan beri aktif olan SideCopy, Hindistan ve Afganistan kuruluşlarına yönelik saldırılarıyla tanınıyor. Transparent Tribe (diğer adıyla APT36) aktörünün bir alt grubu olduğundan şüpheleniliyor.
SEQRITE araştırmacısı Sathwik Ram Prakki Pazartesi günü yayınladığı bir raporda, "Hem SideCopy hem de APT36, Hindistan'ı agresif bir şekilde hedeflemek için altyapıyı ve kodu paylaşıyor" dedi.
Bu Mayıs ayının başlarında grup, bilgi çalan kötü amaçlı yazılımlar dağıtmak için Hindistan'ın Savunma Araştırma ve Geliştirme Örgütü (DRDO) ile ilgili tuzaklardan yararlanan bir kimlik avı kampanyasıyla bağlantılıydı.
O zamandan beri SideCopy, Action RAT'ı yaymak için ZIP arşiv ekleriyle Hindistan savunma sektörünü hedef alan bir dizi kimlik avı saldırısına da karıştı. 18 farklı komutu destekleyen NET tabanlı truva atı.
SEQRITE tarafından tespit edilen yeni kimlik avı kampanyaları, her biri Linux ve Windows işletim sistemlerini hedef alan iki farklı saldırı zinciri içeriyor.
İlki, diğerlerinin yanı sıra dosyaları numaralandırabilen, ekran görüntüsü alabilen ve dosya indirip yükleyebilen Ares RAT'ın Linux sürümünün önünü açan Golang tabanlı bir ELF ikili dosyası etrafında dönüyor.
İkinci kampanya ise kötü amaçlı kodun yürütülmesini tetiklemek için WinRAR arşivleme aracındaki bir güvenlik açığı olan CVE-2023-38831'in kötüye kullanılmasını gerektiriyor ve AllaKore RAT, Ares RAT ve DRat ve Key RAT adlı iki yeni truva atının konuşlandırılmasına yol açıyor.
Ram Prakki, "[AllaKore RAT], sistem bilgilerini çalma, keylogging, ekran görüntüsü alma, dosya yükleme ve indirme ve komut göndermek ve çalınan verileri C2'ye yüklemek için kurban makinesinin uzaktan erişimini sağlama işlevine sahip" dedi.
DRat, sistem verilerini toplamak, ek yükleri indirmek ve yürütmek ve diğer dosya işlemlerini gerçekleştirmek için C13 sunucusundan 2'e kadar komutu ayrıştırabilir.
Linux'un hedef alınması tesadüfi değildir ve muhtemelen Hindistan'ın Microsoft Windows'u hükümet ve savunma sektörlerinde Maya OS adı verilen bir Linux çeşidiyle değiştirme kararından kaynaklanmaktadır.
Ram Prakki, "Cephaneliğini sıfır gün güvenlik açığı ile genişleten SideCopy, çeşitli uzaktan erişim truva atlarıyla sürekli olarak Hint savunma kuruluşlarını hedef alıyor" dedi.
"APT36, Linux cephaneliğini sürekli olarak genişletiyor, burada Linux sahneleyicilerini SideCopy ile paylaşmanın Ares adlı açık kaynaklı bir Python RAT'ı dağıttığı gözlemleniyor."
Benzer Haberler
DigiCert, Alan Adı Doğrulama Gözetimi Nedeniyle 83,000+ SSL Sertifikasını İptal Edecek
Sahibinden.com alan adını yenilemeyi mi unuttu?
Toyota Almanya, Fidye Yazılımı Saldırısında Müşteri Verilerinin Çalındığını Söyledi
Yeni Bluetooth Kusuru, Bilgisayar Korsanlarının Android, Linux, macOS ve iOS Cihazlarını Ele Geçirmesine İzin Veriyor
Microsoft, Büyük Güvenlik Sarsıntısında Yeni CISO'yu İşe Aldı
K. Koreli Bilgisayar Korsanları, Tespit Edilmekten Kaçınmak için macOS Kötü Amaçlı Yazılım Taktiklerini 'Karıştırıyor'
Biden CISO Arıyor
SideCopy, Hindistan Devlet Kurumlarını Hedef Alan Saldırılarda WinRAR Kusurundan Yararlanıyor