Il gruppo di minaccia legato al Pakistan, noto come SideCopy, ha intensificato i suoi attacchi contro entità governative indiane sfruttando una recente vulnerabilità di sicurezza di WinRAR. Queste azioni mirano a distribuire trojan per l’accesso remoto come AllaKore RAT, Ares RAT e DRat, con l’obiettivo di infiltrarsi nei sistemi e sottrarre informazioni sensibili.
Strategie multipiattaforma e attacchi mirati
SEQRITE, azienda specializzata in sicurezza aziendale, ha descritto la campagna come multipiattaforma, con attacchi progettati anche per infiltrarsi nei sistemi Linux tramite una versione compatibile di Ares RAT. SideCopy, attivo dal 2019, è noto per i suoi attacchi contro entità indiane e afgane e si sospetta che sia un sottogruppo del Transparent Tribe (noto anche come APT36). “SideCopy e APT36 condividono infrastrutture e codici per colpire aggressivamente l’India”, ha affermato il ricercatore di SEQRITE Sathwik Ram Prakki.
Phishing e malware: una minaccia costante
Già a maggio, il gruppo era stato collegato a una campagna di phishing che sfruttava esche relative all’organizzazione indiana per la ricerca e lo sviluppo della difesa (DRDO) per distribuire malware ruba-informazioni. Da allora, SideCopy è stato anche implicato in attacchi di phishing contro il settore della difesa indiano, utilizzando allegati di archivi ZIP per diffondere Action RAT e un nuovo trojan basato su .NET che supporta 18 comandi diversi.
Campioni di attacco e vulnerabilità sfruttate
Le nuove campagne di phishing rilevate da SEQRITE prevedono due catene di attacco distinte, una per i sistemi operativi Linux e l’altra per Windows. La prima si basa su un binario ELF scritto in Golang che apre la strada a una versione Linux di Ares RAT, capace di enumerare file, catturare screenshot e gestire il trasferimento di file. La seconda campagna sfrutta la vulnerabilità CVE-2023-38831 in WinRAR per eseguire codice malevolo e distribuire AllaKore RAT, Ares RAT e due nuovi trojan denominati DRat e Key RAT.
La scelta di Linux e le motivazioni strategiche
Il mirare ai sistemi Linux non è casuale ed è probabilmente motivato dalla decisione dell’India di sostituire Microsoft Windows con una versione di Linux chiamata Maya OS nei settori governativi e della difesa. “Espandendo il suo arsenale con vulnerabilità zero-day, SideCopy prende di mira costantemente le organizzazioni di difesa indiane con vari trojan per l’accesso remoto grazie alle falle di software e file noti come WinRar”, ha aggiunto Ram Prakki.