Pakistan bağlantılı tehdit aktörü Yan Kopya AllaKore RAT, Ares RAT ve DRat gibi çeşitli uzaktan erişim truva atlarını dağıtmak için Hint devlet kurumlarını hedef alan saldırılarda son WinRAR güvenlik açığından yararlanıldığı gözlemlendi.
Kurumsal güvenlik firması SEQRITE, saldırıların aynı zamanda Ares RAT’ın uyumlu bir sürümüne sahip Linux sistemlerine sızmak için tasarlanmış olduğu kampanyayı çoklu platform olarak tanımladı.
En az 2019’dan beri aktif olan SideCopy, Hindistan ve Afganistan kuruluşlarına yönelik saldırılarıyla tanınıyor. Şeffaf Kabile’nin (AK APT36) bir alt grubu olduğundan şüpheleniliyor.
SEQRITE araştırmacısı Sathwik Ram Prakki Pazartesi günü yayınlanan bir raporda, “Hem SideCopy hem de APT36, Hindistan’ı agresif bir şekilde hedeflemek için altyapıyı ve kodu paylaşıyor.” dedi.
Bu Mayıs ayının başlarında grup, bilgi çalan kötü amaçlı yazılımlar dağıtmak için Hindistan Savunma Araştırma ve Geliştirme Örgütü (DRDO) ile ilgili tuzaklardan yararlanan bir kimlik avı kampanyasıyla ilişkilendirilmişti.
O zamandan beri SideCopy, Action RAT’ı ve 18 farklı komutu destekleyen yeni bir .NET tabanlı truva atını yaymak için ZIP arşiv ekleriyle Hindistan savunma sektörünü hedef alan bir dizi kimlik avı saldırısına da karıştı.
SEQRITE tarafından tespit edilen yeni kimlik avı kampanyaları, her biri Linux ve Windows işletim sistemlerini hedef alan iki farklı saldırı zincirini içeriyor.
İlki, diğerlerinin yanı sıra dosyaları numaralandırma, ekran görüntüsü alma ve dosya indirme ve yükleme yapabilen Ares RAT’ın Linux sürümünün önünü açan Golang tabanlı bir ELF ikili dosyası etrafında dönüyor.
Öte yandan ikinci kampanya, WinRAR arşivleme aracındaki bir güvenlik kusuru olan CVE-2023-38831’in kötü amaçlı kodun yürütülmesini tetiklemek için kullanılmasını içeriyor ve bu da AllaKore RAT, Ares RAT ve iki yeni yazılımın konuşlandırılmasına yol açıyor. DRat ve Key RAT adı verilen truva atları.
“[AllaKore RAT] Ram Prakki, sistem bilgilerini çalma, keylogging, ekran görüntüleri alma, dosyaları yükleme ve indirme ve komutları göndermek ve çalınan verileri C2’ye yüklemek için kurban makinenin uzaktan erişimini alma işlevlerine sahip.” dedi.
DRat, sistem verilerini toplamak, ek yükleri indirmek ve yürütmek ve diğer dosya işlemlerini gerçekleştirmek için C2 sunucusundan 13’e kadar komutu ayrıştırma kapasitesine sahiptir.
Linux’un hedeflenmesi tesadüfi değildir ve muhtemelen Hindistan’ın hükümet ve savunma sektörlerinde Microsoft Windows’u Maya OS adı verilen bir Linux çeşidiyle değiştirme kararından kaynaklanmaktadır.
Ram Prakki, “Sıfır gün güvenlik açığıyla cephaneliğini genişleten SideCopy, çeşitli uzaktan erişim truva atlarıyla sürekli olarak Hindistan savunma kuruluşlarını hedef alıyor” dedi.
“APT36 Linux cephaneliğini sürekli olarak genişletiyor; Linux sahneleyicilerini SideCopy ile paylaşırken, Ares adında açık kaynaklı bir Python RAT dağıttığı gözlemleniyor.”