Эксперты китайской компании в сфере кибербезопасности Hunting Shadow Lab зафиксировали новую кибератаку индийской хакерской группировки Sidecopy, действующей с 2019 года. Основными целями группировки традиционно являются правительственные учреждения, военные и оборонные структуры Индии, передает Securitylab.
В новой атаке злоумышленники использовали две цепочки взлома, объединённые одним сервером управления:
Анализ содержимого файлов-приманок показал, что атака вновь направлена на индийские военные и оборонные структуры. Эксперты отмечают, что использование уязвимости WinRAR свидетельствует об обновлении арсенала инструментов Sidecopy. Эту уязвимость уже активно эксплуатируют различные киберпреступные группы, об одной мы уже писали буквально сегодня.
Детальный анализ вредоносных программ, использованных в атаке, показал следующее:
Обе программы маскировали свои командные серверы и использовали различные методы обфускации кода. Hunting Shadow Lab уже интегрировала в свои продукты правила обнаружения использованных в атаке вредоносных программ и инфраструктуры злоумышленников, а также поделилась индикаторами компрометации (IoC).
Кибератака Sidecopy демонстрирует необходимость комплексной защиты от угроз. Технические специалисты организаций должны обеспечить своевременное обновление уязвимого ПО до последних версий (в случае с WinRAR — до версии 6.23), грамотную настройку средств безопасности и регулярную проверку подконтрольных систем на вирусы. Пользователи также должны проявлять бдительность и не запускать подозрительные файлы из неизвестных источников.