Grazie al lavoro di SEQRITE, società impegnata nel settore della sicurezza aziendale, è stato possibile individuare una nuova operazione del gruppo hacker noto come SideCopy. La campagna, a quanto pare, sfrutta una vulnerabilità di WinRAR che preoccupa non poco gli esperti.
Il collettivo, collegato in qualche modo al governo pakistano, sembra sfruttare questa falla di sicurezza per distribuire diversi trojan (come AllaKore RAT, Ares RAT e DRat) prendendo di mira prevalentemente entità governative indiane.
SideCopy, attivo almeno dal 2019, è noto per i suoi attacchi contro i governi di India e Afghanistan. Si sospetta che esso non sia altro che un sottogruppo di Transparent Tribe (alias APT36).
Secondo Sathwik Ram Prakki, ricercatore di SEQRITE “Sia SideCopy che APT36 condividono infrastruttura e codice per prendere di mira in modo aggressivo l’India“.
Dallo scorso mese di maggio SideCopy è stato coinvolto in una serie di attacchi phishing contro l’India, sfruttando archivi ZIP per diffondere Action RAT e altri agenti malevoli.
SideCopy e la vulnerabilità WinRAR: solo l’ultimo attacco ideato dal gruppo di hacker
La campagna appena scoperta prevede lo sfruttamento di CVE-2023-38831, una falla di sicurezza nel noto software di archiviazione WinRAR.
Questo permette l’esecuzione di codice dannoso, portando allo scaricamento di AllaKore RAT e del già citato Ares RAT oltre a due nuovi trojan chiamati DRat e Key RAT.
DRat è in grado di analizzare fino a 13 comandi dal server C2 per raccogliere dati di sistema, scaricare ed eseguire payload aggiuntivi ed eseguire altre operazioni sui file. Nello specifico, il malware sembra prediligere piattaforme Linux.
Questo tipo di comportamento non dovrebbe sorprendere, visto che il governo indiano ha deciso di dotare i propri computer di una distro Linux appositamente ideata per tale contesto, chiamata Maya OS.
Come conferma Prakki “Espandendo il suo arsenale con la vulnerabilità zero-day, SideCopy prende di mira costantemente le organizzazioni di difesa indiane con vari trojan ad accesso remoto“.
Nonostante questi attacchi informatici coinvolgano due paesi molto distanti, il modus operandi può facilmente essere replicato anche in occidente. Per questo motivo, il consiglio è di proteggere i propri sistemi operativi attraverso degli antivirus all’altezza della situazione.