SideCopy, Hindistan Devlet Kurumlarını Hedef Alan Saldırılarda WinRAR Kusurundan Yararlanıyor - Dünyadan Güncel Teknoloji Haberleri

SideCopy, Hindistan Devlet Kurumlarını Hedef Alan Saldırılarda WinRAR Kusurundan Yararlanıyor - Dünyadan Güncel Teknoloji Haberleri


07 Kasım 2023Haber odasıGüvenlik Açığı / Kötü Amaçlı Yazılım

Pakistan bağlantılı tehdit aktörü Yan Kopya AllaKore RAT, Ares RAT ve DRat gibi çeşitli uzaktan erişim truva atlarını dağıtmak için Hint devlet kurumlarını hedef alan saldırılarda son WinRAR güvenlik açığından yararlanıldığı gözlemlendi

Bu Mayıs ayının başlarında grup, bilgi çalan kötü amaçlı yazılımlar dağıtmak için Hindistan Savunma Araştırma ve Geliştirme Örgütü (DRDO) ile ilgili tuzaklardan yararlanan bir kimlik avı kampanyasıyla ilişkilendirilmişti

Öte yandan ikinci kampanya, WinRAR arşivleme aracındaki bir güvenlik kusuru olan CVE-2023-38831’in kötü amaçlı kodun yürütülmesini tetiklemek için kullanılmasını içeriyor ve bu da AllaKore RAT, Ares RAT ve iki yeni yazılımın konuşlandırılmasına yol açıyor

“[AllaKore RAT] Ram Prakki, sistem bilgilerini çalma, keylogging, ekran görüntüleri alma, dosyaları yükleme ve indirme ve komutları göndermek ve çalınan verileri C2’ye yüklemek için kurban makinenin uzaktan erişimini alma işlevlerine sahip

SEQRITE tarafından tespit edilen yeni kimlik avı kampanyaları, her biri Linux ve Windows işletim sistemlerini hedef alan iki farklı saldırı zincirini içeriyor NET tabanlı truva atını yaymak için ZIP arşiv ekleriyle Hindistan savunma sektörünü hedef alan bir dizi kimlik avı saldırısında Şeffaf Kabile’nin (diğer adıyla APT36) bir alt grubu olduğundan şüpheleniliyor

En az 2019’dan beri aktif olan SideCopy, bilinen onun için saldırılar Hindistan ve Afganistan kuruluşları hakkında

Kurumsal güvenlik firması SEQRITE, saldırıların aynı zamanda Ares RAT’ın uyumlu bir sürümüne sahip Linux sistemlerine sızmak için tasarlanmış olduğu kampanyayı çoklu platform olarak tanımladı

O zamandan beri SideCopy da karışmış Action RAT’ı ve 18 farklı komutu destekleyen yeni bir

“APT36 Linux cephaneliğini sürekli olarak genişletiyor; Linux sahneleyicilerini SideCopy ile paylaşırken, Ares adında açık kaynaklı bir Python RAT dağıttığı gözlemleniyor DRat ve Key RAT adı verilen truva atları

SEQRITE araştırmacısı Sathwik Ram Prakki, “Hem SideCopy hem de APT36, agresif bir şekilde Hindistan’ı hedeflemek için altyapıyı ve kodu paylaşıyor” söz konusu Pazartesi raporunda

İlki, Linux sürümünün yolunu açan Golang tabanlı bir ELF ikili dosyası etrafında dönüyor Ares RAT Bu, diğerlerinin yanı sıra dosyaları numaralandırma, ekran görüntüsü alma ve dosya indirme ve yükleme işlemlerini gerçekleştirebilir

Ram Prakki, “Sıfır gün güvenlik açığıyla cephaneliğini genişleten SideCopy, çeşitli uzaktan erişim truva atlarıyla sürekli olarak Hindistan savunma kuruluşlarını hedef alıyor” dedi ”



siber-2

” dedi

DRat, sistem verilerini toplamak, ek yükleri indirmek ve yürütmek ve diğer dosya işlemlerini gerçekleştirmek için C2 sunucusundan 13’e kadar komutu ayrıştırma kapasitesine sahiptir

Linux’un hedeflenmesi tesadüfi değildir ve muhtemelen Hindistan’ın hükümet ve savunma sektörlerinde Microsoft Windows’u Maya OS adı verilen bir Linux çeşidiyle değiştirme kararından kaynaklanmaktadır