印度政府機關遭到駭客組織SideCopy鎖定，利用WinRAR漏洞發動攻擊

軟體開發商RARLab於7月下旬修補的零時差漏洞CVE-2023-38831，繼俄羅斯、中國有多個國家級駭客利用這項漏洞發動攻擊，有其他國家級駭客也跟進，將其用於攻擊行動。

資安業者Seqrite揭露巴基斯坦駭客組織SideCopy近期的攻擊行動，這些駭客鎖定印度，積極利用WinRAR的漏洞CVE-2023-38831，對Windows電腦部署AllaKore RAT、DRat等惡意軟體，但他們也看到駭客對於Linux電腦植入Ares RAT變種惡意程式。

SideCopy的攻擊行動最早可追溯自2019年，長期以來都是針對南亞國家下手，其中又以印度國防產業、阿富汗政府機關為主要目標。研究人員指出，從今年初，他們每個月幾乎都會看到新的攻擊行動，也陸續發現駭客所使用的新工具，像是Double Action RAT、另一個以.NET開發的RAT木馬程式，而在戰術、技術、程序（TTP）上，這些駭客也開始透過PowerShell遠端執行命令。

此外，這些駭客今年更積極針對大學生下手，並洩露學生資料，研究人員推測很有可能是替恐怖組織招募成員。再者，該組織不光攻擊Windows電腦，他們近期也開發了Poseidon及其他公用程式，使得Linux攻擊工具更為強大。

特別的是，研究人員提及，該組織還會利用蜜罐陷阱（Honeypot）引誘國防人員上當，藉由網路間諜行動竊取機密情報。

而對於這波利用WinRAR漏洞的攻擊，駭客先是透過網路釣魚手法，引誘使用者下載PDF誘餌檔案，但實際上為Windows捷徑檔案（LNK），一旦開啟此檔，電腦就有可能執行遠端的HTA檔案，從而檢查電腦安裝的.NET版本、防毒軟體資訊，然後使用Base64編碼解密，於記憶體內執行惡意DLL檔案，為了執行這個DLL檔案，駭客會濫用Windows內建的公用程式，如credwiz.exe、rekeywiz.exe，以DLL側載（DLL Side-loading）手法載入惡意DLL檔案。

在其中一起攻擊行動裡，駭客散布聲稱與印度太空研究組織NSRO有關的PDF檔案，檔名是ACR.pdf或ACR_ICR_ECR_Form_for_Endorsement_New_Policy.pdf，針對Windows電腦而來。但研究人員進一步調查發現，這些攻擊者也將這兩個PDF檔案用於散布Linux變種的Ares RAT。再者，兩次攻擊駭客使用的網域，都指向相同的IP位址。

而在針對Windows電腦的攻擊行動當中，使用者若是依照指示開啟PDF檔案，電腦就會從駭客的網域下載ZIP檔案，當中含有偽裝成PDF檔案的Windows連結檔案，其中一個是Homomaleity – Indian Armed Forces ․pdf.lnk。一旦使用者開啟，就會觸發遠端的HTA檔案，這個檔案內容包含了誘餌PDF檔案、惡意DLL程式庫，並會檢查電腦安裝的.NET版本、收集防毒軟體資訊，然後將DLL檔案解碼、在記憶體內執行。

這個DLL程式庫先會開啟誘餌檔案降低使用者戒心，然後向駭客的網域發送訊號，從而下載最終的HTA及DLL檔案，並根據受害電腦採用的防毒軟體程式（Seqrite、Quick Heal、卡巴斯基、Avast、Avira、Bitdefender、Microsoft Defender），移動至特定的資料夾，啟動最終的DLL檔案。

而另一個駭客所使用的Homomaleity – Indian Armed Forces.zip壓縮檔，則是內含ELF執行檔，研究人員反組譯後，發現該惡意程式會在受害電腦部署以Python打造的Ares RAT。

而在另一起攻擊行動當中，駭客會在網路釣魚的過程裡利用了前述的WinRAR漏洞。一旦使用者依照對方指示操作，電腦便會下載惡意壓縮檔，內容是PDF檔案及同名資料夾，使用者若透過WinRAR開啟，並執行PDF檔案，有效酬載就會透過WinRAR的ShellExecute功能函數觸發。研究人員指出，駭客所使用的PDF誘餌檔案，與全印度非公報軍官組織（AIANGO）有關。

在上述壓縮檔內的資料夾裡，含有名為AllaKore RAT的惡意酬載，其功能包括竊取系統資訊、鍵盤側錄、截取螢幕畫面、上傳或下載檔案，甚至能讓攻擊者遠端存取受害電腦。

研究人員也根據惡意網域、C2的IP位址，與其他攻擊行動建立關聯。這些駭客曾在4月假借沙烏地阿拉伯代表團的名義，散布另一款惡意程式DRat，後來又在8月以美中貿易戰為誘餌再度進行攻擊。同樣在8月，該組織又以印度國防部及議會事務為幌子，散布Ares RAT惡意程式。

附帶一提，資安新聞網站Hacker News認為，這些駭客針對Linux電腦下手並非巧合，原因是印度政府與國防部門打算使用名為Maya OS的Linux版本，逐步取代Windows作業系統。