Контакты
Подписка 2024
DCAP и DLP
13 марта. Защита корпоративных данных: достаточно ли внедрить DCAP и DLP?
Представляйте решения на онлайн-конференции!

Правительственные и оборонные структуры в Индии пали жертвами хакеров Sidecopy

30/10/23

Indiatech-1

Эксперты китайской компании в сфере кибербезопасности Hunting Shadow Lab зафиксировали новую кибератаку индийской хакерской группировки Sidecopy, действующей с 2019 года. Основными целями группировки традиционно являются правительственные учреждения, военные и оборонные структуры Индии, передает Securitylab.

В новой атаке злоумышленники использовали две цепочки взлома, объединённые одним сервером управления:

  1. Эксплуатация уязвимости CVE-2023-38831 в WinRAR для запуска вредоносной программы AllaKore RAT.
  2. Рассылка фишинговых писем с архивным вложением, содержащим вредоносный файл внутри. После запуска зловредного ярлыка Windows с расширением LNK на переднем плане открывается PDF-файл, имитирующий законный документ, связанный с деятельностью индийской организации AIANGO. В то же время в фоновом режиме происходит скачивание и запуск трояна DRAT.

Анализ содержимого файлов-приманок показал, что атака вновь направлена на индийские военные и оборонные структуры. Эксперты отмечают, что использование уязвимости WinRAR свидетельствует об обновлении арсенала инструментов Sidecopy. Эту уязвимость уже активно эксплуатируют различные киберпреступные группы, об одной мы уже писали буквально сегодня.

Детальный анализ вредоносных программ, использованных в атаке, показал следующее:

  • Allakore RAT, запущенный через уязвимость WinRAR, представляет собой типичный троян удалённого доступа, способный собирать различную информацию о заражённой системе, загружать и выгружать файлы. Он подключался к командному C2-серверу злоумышленников по адресу 38[.]242[.]149[.]89.
  • DRAT, распространяемый через LNK-файлы, написан на платформе .NET и также обладает широкими возможностями по управлению заражённой системой. Его трафик надёжно шифруется и маскируется.

Обе программы маскировали свои командные серверы и использовали различные методы обфускации кода. Hunting Shadow Lab уже интегрировала в свои продукты правила обнаружения использованных в атаке вредоносных программ и инфраструктуры злоумышленников, а также поделилась индикаторами компрометации (IoC).

Кибератака Sidecopy демонстрирует необходимость комплексной защиты от угроз. Технические специалисты организаций должны обеспечить своевременное обновление уязвимого ПО до последних версий (в случае с WinRAR — до версии 6.23), грамотную настройку средств безопасности и регулярную проверку подконтрольных систем на вирусы. Пользователи также должны проявлять бдительность и не запускать подозрительные файлы из неизвестных источников.

Темы:ПреступленияИндиягосударственные кибератаки
Российские платформы виртуализации
21 марта. Российские платформы виртуализации: безопасность, производительность, совместимость
Участвуйте и представляйте решения!

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
14 марта. Автоматизация реагирования на инциденты по информационной безопасности
Участвуйте!

Еще темы...

More...