SideCopy exploite une faille WinRAR pour des attaques ciblant les entités gouvernementales indiennes

L’entreprise de sécurité SEQRITE a décrit la campagne comme étant multiplateforme, les attaques étant également conçues pour infiltrer les systèmes Linux avec une version compatible d’Ares RAT.

SideCopy, actif depuis au moins 2019, est connu pour ses attaques contre des entités indiennes et afghanes. Il est soupçonné d’être un sous-groupe de l’acteur Transparent Tribe (aka APT36).

« SideCopy et APT36 partagent tous deux l’infrastructure et le code pour cibler agressivement l’Inde », a déclaré le chercheur Sathwik Ram Prakki de SEQRITE dans un rapport publié lundi.

Au début du mois de mai, le groupe a été associé à une campagne d’hameçonnage qui tirait parti de leurres liés à l’Organisation de recherche et de développement pour la défense (DRDO) de l’Inde pour diffuser des logiciels malveillants de vol d’informations.

Depuis, SideCopy a également été impliqué dans une série d’attaques de phishing ciblant le secteur de la défense indien, avec des pièces jointes d’archives ZIP pour propager Action RAT et un nouveau cheval de Troie basé sur .NET qui prend en charge 18 commandes différentes.

Les nouvelles campagnes de phishing détectées par SEQRITE comportent deux chaînes d’attaque différentes, chacune ciblant les systèmes d’exploitation Linux et Windows. La première s’articule autour d’un binaire ELF basé sur Golang qui ouvre la voie à une version Linux d’Ares RAT capable, entre autres, d’énumérer des fichiers, de prendre des captures d’écran, de télécharger des fichiers et de les mettre en ligne. La seconde campagne, quant à elle, implique l’exploitation de CVE-2023-38831, une faille de sécurité dans l’outil d’archivage WinRAR, pour déclencher l’exécution d’un code malveillant conduisant au déploiement d’AllaKore RAT ,d’Ares RAT ,et de deux nouveaux chevaux de Troie appelés DRat ,et Key RAT . « AllaKore RAT] est capable de voler des informations système, d’enregistrer des frappes, de faire des captures d’écran, de télécharger des fichiers et d’accéder à distance à la machine de la victime, d’envoyer des commandes et de télécharger des données volées (C2) », a déclaré Ram Prakki. DRat est capable d’analyser jusqu’à 13 commandes provenant d’un serveur C2, de recueillir des données système, de télécharger et d’exécuter des charges utiles supplémentaires et d’effectuer d’autres opérations sur les fichiers. Le ciblage de Linux n’est pas une coïncidence, motivé par la décision de l’Inde de remplacer Microsoft Windows par une variante de Linux appelée Maya OS dans les secteurs du gouvernement et de la défense. L’expansion de l’arsenal avec la vulnérabilité zero day SideCopy cible régulièrement les organisations de défense indiennes avec divers chevaux de Troie d’accès à distance », a déclaré Ram Prakki. APT36 étend constamment son arsenal Linux où le partage de ses stagers Linux avec SideCopy a observé le déploiement d’un RAT Python open source appelé Ares ».