Правительственные и оборонные структуры в Индии пали жертвами хакеров Sidecopy

Эксперты китайской компании в сфере кибербезопасности Hunting Shadow Lab зафиксировали новую кибератаку индийской хакерской группировки Sidecopy, действующей с 2019 года. Основными целями группировки традиционно являются правительственные учреждения, военные и оборонные структуры Индии.

В новой атаке злоумышленники использовали две цепочки взлома, объединённые одним сервером управления:

1. Эксплуатация уязвимости CVE-2023-38831 в WinRAR для запуска вредоносной программы AllaKore RAT.
2. Рассылка фишинговых писем с архивным вложением, содержащим вредоносный файл внутри. После запуска зловредного ярлыка Windows с расширением LNK на переднем плане открывается PDF-файл, имитирующий законный документ, связанный с деятельностью индийской организации AIANGO. В то же время в фоновом режиме происходит скачивание и запуск трояна DRAT.

Анализ содержимого файлов-приманок показал, что атака вновь направлена на индийские военные и оборонные структуры. Эксперты отмечают, что использование уязвимости WinRAR свидетельствует об обновлении арсенала инструментов Sidecopy. Недостаток уже активно эксплуатируют различные киберпреступные группы, например, в атаке на организации с геополитической значимостью , включая оборонные предприятия, научно-исследовательские учреждения и финансовые компании.

Детальный анализ вредоносных программ, использованных в атаке, показал следующее:

• Allakore RAT, запущенный через уязвимость WinRAR, представляет собой типичный троян удалённого доступа, способный собирать различную информацию о заражённой системе, загружать и выгружать файлы. Он подключался к командному C2-серверу злоумышленников по адресу 38[.]242[.]149[.]89.
• DRAT, распространяемый через LNK-файлы, написан на платформе .NET и также обладает широкими возможностями по управлению заражённой системой. Его трафик надёжно шифруется и маскируется.

Обе программы маскировали свои командные серверы и использовали различные методы обфускации кода. Hunting Shadow Lab уже интегрировала в свои продукты правила обнаружения использованных в атаке вредоносных программ и инфраструктуры злоумышленников, а также поделилась индикаторами компрометации (IoC).

Кибератака Sidecopy демонстрирует необходимость комплексной защиты от угроз. Технические специалисты организаций должны обеспечить своевременное обновление уязвимого ПО до последних версий (в случае с WinRAR — до версии 6.23), грамотную настройку средств безопасности и регулярную проверку подконтрольных систем на вирусы. Пользователи также должны проявлять бдительность и не запускать подозрительные файлы из неизвестных источников.