В своих атаках злоумышленники используют популярную нынче уязвимость WinRAR.
Эксперты китайской компании в сфере кибербезопасности Hunting Shadow Lab Для просмотра ссылки Войдиили Зарегистрируйся новую кибератаку индийской хакерской группировки Sidecopy, действующей с 2019 года. Основными целями группировки традиционно являются правительственные учреждения, военные и оборонные структуры Индии.
В новой атаке злоумышленники использовали две цепочки взлома, объединённые одним сервером управления:
или Зарегистрируйся .
Детальный анализ вредоносных программ, использованных в атаке, показал следующее:
Кибератака Sidecopy демонстрирует необходимость комплексной защиты от угроз. Технические специалисты организаций должны обеспечить своевременное обновление уязвимого ПО до последних версий (в случае с WinRAR — до версии 6.23), грамотную настройку средств безопасности и регулярную проверку подконтрольных систем на вирусы. Пользователи также должны проявлять бдительность и не запускать подозрительные файлы из неизвестных источников.
Эксперты китайской компании в сфере кибербезопасности Hunting Shadow Lab Для просмотра ссылки Войди
В новой атаке злоумышленники использовали две цепочки взлома, объединённые одним сервером управления:
- Эксплуатация уязвимости CVE-2023-38831 в WinRAR для запуска вредоносной программы AllaKore RAT.
- Рассылка фишинговых писем с архивным вложением, содержащим вредоносный файл внутри. После запуска зловредного ярлыка Windows с расширением LNK на переднем плане открывается PDF -файл, имитирующий законный документ, связанный с деятельностью индийской организации AIANGO . В то же время в фоновом режиме происходит скачивание и запуск трояна DRAT.
Детальный анализ вредоносных программ, использованных в атаке, показал следующее:
- Allakore RAT, запущенный через уязвимость WinRAR, представляет собой типичный троян удалённого доступа, способный собирать различную информацию о заражённой системе, загружать и выгружать файлы. Он подключался к командному C2-серверу злоумышленников по адресу 38[.]242[.]149[.]89.
- DRAT, распространяемый через LNK-файлы, написан на платформе .NET и также обладает широкими возможностями по управлению заражённой системой. Его трафик надёжно шифруется и маскируется.
Кибератака Sidecopy демонстрирует необходимость комплексной защиты от угроз. Технические специалисты организаций должны обеспечить своевременное обновление уязвимого ПО до последних версий (в случае с WinRAR — до версии 6.23), грамотную настройку средств безопасности и регулярную проверку подконтрольных систем на вирусы. Пользователи также должны проявлять бдительность и не запускать подозрительные файлы из неизвестных источников.
- Источник новости
- www.securitylab.ru