กลุ่ม SideCopy ใช้ช่องโหว่ WinRAR โจมตีหน่วยงานรัฐบาลอินเดีย

SideCopy กลุ่มแฮ็กเกอร์จากปากีสถาน ถูกพบว่ากำลังใช้ประโยชน์จากช่องโหว่ WinRAR โจมตีหน่วยงานรัฐบาลอินเดียเพื่อติดตั้งโทรจันที่สามารถควบคุมได้จากระยะไกล เช่น AllaKore RAT, Ares RAT และ DRat โดยนักวิจัยจากบริษัท SEQRITE ระบุว่า แคมเปญนี้เป็นการโจมตีแบบ multi-platform และถูกออกแบบมาเพื่อโจมตีระบบ Linux ด้วย Ares RAT

SideCopy ถูกพบมาตั้งแต่ปี 2019 เป็นอย่างน้อย และเป็นที่รู้จักจากการโจมตีหน่วยงานในอินเดีย และอัฟกานิสถาน ซึ่งถูกสงสัยว่าเป็นกลุ่มย่อยของ Transparent Tribe (หรือ APT36)

Satwik Ram Prakki นักวิจัยจาก SEQRITE ระบุในรายงานเมื่อวันที่ 6 พ.ย. 2023 ที่ผ่านมาว่าทั้ง SideCopy และ APT36 ใช้โครงสร้างพื้นฐาน และโค้ดการโจมตีร่วมกันเพื่อมุ่งเป้าไปที่หน่วยงานในอินเดียอย่างจริงจัง

เมื่อต้นเดือนพฤษภาคม SideCopy เชื่อมโยงกับแคมเปญฟิชชิ่งที่ใช้ประโยชน์จากเหยื่อซึ่งก็คือองค์กรการวิจัยและพัฒนาด้านการป้องกันประเทศ (DRDO) ของอินเดียเพื่อส่งมัลแวร์เข้าไปขโมยข้อมูล

ตั้งแต่นั้นมา SideCopy ก็มีส่วนเกี่ยวข้องกับการโจมตีแบบฟิชชิ่งที่มุ่งเป้าไปที่ภาคการป้องกันของอินเดียด้วยไฟล์แนบ ZIP เพื่อแพร่กระจาย Action RAT และโทรจันที่ใช้ .NET ตัวใหม่ ซึ่งรองรับคำสั่งที่แตกต่างกันได้ถึง 18 คำสั่ง

แคมเปญฟิชชิ่งใหม่ที่ตรวจพบโดย SEQRITE ประกอบไปด้วยกลุ่มการโจมตีที่แตกต่างกัน 2 กลุ่ม โดยแต่ละกลุ่มกำหนดเป้าหมายไปที่ระบบ Linux และ Windows

กลุ่มแรกใช้ ELF binary ภาษา Golang-based ซึ่งปูทางสำหรับ Ares RAT เวอร์ชัน Linux ที่สามารถค้นหาไฟล์, ถ่ายภาพหน้าจอ, ดาวน์โหลด-อัพโหลดไฟล์ และอื่น ๆ อีกมากมายได้

กลุ่มที่สองเกี่ยวข้องกับการใช้ประโยชน์จากช่องโหว่ CVE-2023-38831 ซึ่งเป็นช่องโหว่ด้านความปลอดภัยใน WinRAR เพื่อเรียกใช้โค้ดที่เป็นอันตราย ซึ่งนำไปสู่การติดตั้ง AllaKore RAT, Ares RAT และโทรจันอีก 2 รายการที่ชื่อว่า DRat และ Key RAT

Ram Prakki ระบุว่า AllaKore RAT มีฟังก์ชันในการขโมยข้อมูลระบบ, keylogging, จับภาพหน้าจอ, อัปโหลด และดาวน์โหลดไฟล์ และการเข้าถึงจากระยะไกลเพื่อส่งคำสั่ง และอัปโหลดข้อมูลที่ถูกขโมยไปยัง C2 Server

DRat สามารถแยกวิเคราะห์คำสั่งได้มากถึง 13 คำสั่งจาก C2 Server เพื่อรวบรวมข้อมูลระบบ ดาวน์โหลด และดำเนินการเพย์โหลดเพิ่มเติม และดำเนินการกับไฟล์อื่น ๆ

การพุ่งเป้าไปที่ระบบ Linux ไม่ใช่เรื่องบังเอิญ และอาจได้รับแรงบันดาลใจจากการตัดสินใจของอินเดียที่จะแทนที่ Microsoft Windows ด้วย Linux ที่เรียกว่า Maya OS ทั่วทั้งภาคส่วนของการป้องกันประเทศ

Ram Prakki ยังระบุอีกว่าการขยายเครื่องมือสำหรับการโจมตีช่องโหว่ zero-day ของกลุ่ม SideCopy โดยมุ่งเป้าไปที่องค์กรด้านการป้องกันประเทศของอินเดียอย่างต่อเนื่องด้วยโทรจัน เพื่อติดตั้ง Python RAT แบบ open-source ที่เรียกว่า Ares

 

ที่มา : thehackernews