据观察,与巴基斯坦有关的威胁行为者SideCopy在针对印度政府实体的攻击中利用最近的 WinRAR 安全漏洞来传播各种远程访问木马,例如 AllaKore RAT、Ares RAT 和 DRat。
企业安全公司 SEQRITE 将该活动描述为多平台攻击,这些攻击还旨在通过兼容版本的 Ares RAT 渗透 Linux 系统。
SideCopy 至少从 2019 年开始活跃,以攻击印度和阿富汗实体而闻名。它被怀疑是透明部落(又名 APT36)演员的一个子团体。
SEQRITE 研究员 Sathwik Ram Prakki在周一的一份报告中表示:“SideCopy 和 APT36 共享基础设施和代码,以积极瞄准印度。”
今年 5 月初,该组织与一次网络钓鱼活动有关,该活动利用与印度国防研究与发展组织 (DRDO) 相关的诱饵来传播信息窃取恶意软件。
此后,SideCopy 还参与了一系列针对印度国防部门的网络钓鱼攻击,这些攻击通过 ZIP 存档附件传播 Action RAT 和支持 18 种不同命令的基于 .NET 的新特洛伊木马。
SEQRITE 检测到的新网络钓鱼活动涉及两个不同的攻击链,每个攻击链都针对 Linux 和 Windows 操作系统。
