Pakistan merkezli tehdit aktörü SideCopy, AllaKore RAT, Ares RAT ve DRat gibi birden fazla RAT (Uzaktan Erişim Truva Atı) sağlamak amacıyla Hindistan devlet kurumlarını hedeflemek için WinRAR güvenlik açığını (CVE-2023-38831) kullanıyor.
Raporlara göre tehdit aktörünün her ay eş zamanlı kampanyalar düzenlediği gözlemlendi. Son kampanyalar, kullanılan ek sömürü aşamalarının olduğunu gösterdi; NET tabanlı RAT’a “Çift Eylem RAT” adı verildi.
APT36 ve Kampanyaların Alt Bölümü
SideCopy’nin, Hindistan Ordusunu hedef alan ve üniversite öğrencilerini terörist gruplara katan Şeffaf Kabile (APT-36) ile bağlantılı olduğu ortaya çıktı. Ayrıca bu tehdit unsuru 2013 yılından bu yana faaliyet gösteriyor; Linux kötü amaçlı yazılım cephaneliği Poseidon ve diğer yardımcı programlarla güncellendi.
Cyber Security News’e gönderilen raporlara göre, ilk kampanyaları, NSRO ile ilgili “ACR.pdf” veya “ACR_ICR_ECR_Form_for_Endorsement_New_Policy.pdf” adlı sahte belgeden oluşan bir arşivi indiren bir kimlik avı bağlantısı aracılığıyla gerçekleştirildi.
Ayrıca, güvenliği ihlal edilmiş bir alanda uzak bir HTA dosyasını tetikleyen PDF içinde birleştirilmiş bir LNK dosyası gibi iki tür sonraki aşama vardı. Bu kampanyanın sonraki aşamaları, .NET sürümünü kontrol etmek, kurulu AV’yi getirmek, kodunu çözmek ve DLL’yi bellekte çalıştırmaktı.
Ares RAT Teslimat
“Eşcinsellik – Hindistan Silahlı Kuvvetleri ․pdf.lnk” adı altında çift uzantılı iki kısayol dosyası vardı. Ancak iki adet gömülü base64 kodlu dosya, bir tuzak PDF ve bir DLL vardı. Tuzak dosyası açıldığında başka bir HTA indirir, oysa son DLL hedefi işaret eder.
Yeni HTA, TEMP klasöründe “seqrite.jpg” olarak kaydedilir; bu klasör daha sonra mevcut AV’ye bağlı olan son DLL yükünü yürütür. Kalıcılık sağlamak için bu veri, kayıt defteri anahtarına veya Startup’a eklenir.
Buna ek olarak, hedef kapsamlarında çok sayıda Linux tabanlı kötü amaçlı yazılım bulunuyor; bu, Hindistan hükümetinin yakın zamanda yaptığı duyuru nedeniyle hem hükümet hem de savunma sektörlerinde Microsoft Windows’un Maya OS (Linux tadı) ile değiştirilmesine yönelik duyurudan kaynaklanıyor.
Bu tehdit aktörü, kötü amaçlı yazılım ve diğer bilgiler hakkında ayrıntılı bilgi sağlayan SEQRITE tarafından eksiksiz bir rapor yayınlandı.
IOC’ler
Bir sistemin ihlal edildiğine veya tehlikeye atıldığına dair olası işaretlerin kapsamlı bir listesi için lütfen sağlanan kaynakta bulunan Tehlike Göstergeleri belgesine bakın.
StorageGuard ile depolama ve yedekleme sistemlerinizi korur – 40 saniyelik Video Turunu izleyin.