30/10/23
Эксперты китайской компании в сфере кибербезопасности Hunting Shadow Lab зафиксировали новую кибератаку индийской хакерской группировки Sidecopy, действующей с 2019 года. Основными целями группировки традиционно являются правительственные учреждения, военные и оборонные структуры Индии, передает Securitylab.
В новой атаке злоумышленники использовали две цепочки взлома, объединённые одним сервером управления:
- Эксплуатация уязвимости CVE-2023-38831 в WinRAR для запуска вредоносной программы AllaKore RAT.
- Рассылка фишинговых писем с архивным вложением, содержащим вредоносный файл внутри. После запуска зловредного ярлыка Windows с расширением LNK на переднем плане открывается PDF-файл, имитирующий законный документ, связанный с деятельностью индийской организации AIANGO. В то же время в фоновом режиме происходит скачивание и запуск трояна DRAT.
Анализ содержимого файлов-приманок показал, что атака вновь направлена на индийские военные и оборонные структуры. Эксперты отмечают, что использование уязвимости WinRAR свидетельствует об обновлении арсенала инструментов Sidecopy. Эту уязвимость уже активно эксплуатируют различные киберпреступные группы, об одной мы уже писали буквально сегодня.
Детальный анализ вредоносных программ, использованных в атаке, показал следующее:
- Allakore RAT, запущенный через уязвимость WinRAR, представляет собой типичный троян удалённого доступа, способный собирать различную информацию о заражённой системе, загружать и выгружать файлы. Он подключался к командному C2-серверу злоумышленников по адресу 38[.]242[.]149[.]89.
- DRAT, распространяемый через LNK-файлы, написан на платформе .NET и также обладает широкими возможностями по управлению заражённой системой. Его трафик надёжно шифруется и маскируется.
Обе программы маскировали свои командные серверы и использовали различные методы обфускации кода. Hunting Shadow Lab уже интегрировала в свои продукты правила обнаружения использованных в атаке вредоносных программ и инфраструктуры злоумышленников, а также поделилась индикаторами компрометации (IoC).
Кибератака Sidecopy демонстрирует необходимость комплексной защиты от угроз. Технические специалисты организаций должны обеспечить своевременное обновление уязвимого ПО до последних версий (в случае с WinRAR — до версии 6.23), грамотную настройку средств безопасности и регулярную проверку подконтрольных систем на вирусы. Пользователи также должны проявлять бдительность и не запускать подозрительные файлы из неизвестных источников.
