Desde principios de 2019, la Operación SideCopy ha permanecido activa, dirigida exclusivamente a las fuerzas de defensa y al personal de las fuerzas armadas de la India. Los módulos de malware asociados con este actor de amenazas evolucionan continuamente y se lanzan versiones actualizadas tras el reconocimiento de los datos de las víctimas. Los actores de amenazas detrás de Operation SideCopy monitorean de cerca las detecciones de malware y actualizan rápidamente los módulos cuando el software antivirus los detecta. En particular, casi toda la infraestructura de comando y control (C&C) se atribuye a Contabo GmbH, y la infraestructura de red tiene similitudes con el grupo de amenazas persistentes avanzadas (APT) de Transparent Tribe. Figura 1: Biblioteca de amenazas de Cyble Vision País de origen SideCopy se origina en Pakistán y opera como un grupo APT. Targeted Country SideCopy dirige principalmente sus operaciones hacia la India, aunque en algunos casos también se ha dirigido a Afganistán y Bangladesh. Figura 2 – Países de origen y objetivo (Fuente: Cyble Vision) Alias ​​N/A Sectores objetivo SideCopy centra sus ataques exclusivamente en el sector de defensa. Ciclo de vida de SideCopy SideCopy se ha ganado la infamia por apuntar al personal de defensa indio y su creación proactiva de artefactos maliciosos, incluidos dominios y señuelos de correo electrónico. La infección inicial generalmente comienza con correos electrónicos de phishing centrados en noticias y asuntos relacionados con la defensa. Estos correos electrónicos contienen un archivo zip que contiene un archivo de acceso directo de Windows (.lnk) disfrazado de archivos PDF o DOC. Al abrir estos archivos, se ejecuta un archivo HTA de primera etapa. Este archivo HTA de primera etapa luego procede a descargar y ejecutar un archivo HTA de segunda etapa mientras también descarga y abre un documento señuelo. El archivo HTA de segunda etapa inicia la implementación y ejecución de un ejecutable legítimo, que luego descarga un archivo DLL malicioso eliminado por el HTA de segunda etapa. Este archivo DLL malicioso actúa como un troyano de acceso remoto (RAT). Cyble ha detectado e informado la campaña SideCopy anteriormente, como se muestra en la siguiente figura. Figura 3: Reconocimiento del ciclo de vida de SideCopy APT y desarrollo de recursos A partir de las actividades de amenazas observadas, es evidente que SideCopy mantiene una vigilancia constante sobre los desarrollos recientes dentro de los sectores relacionados con la defensa. Al explotar estas actualizaciones como señuelos, SideCopy se dirige específicamente al personal de defensa. Además, SideCopy emplea dominios comprometidos para alojar archivos maliciosos durante las etapas iniciales. Esta táctica dificulta la identificación de infraestructuras de red maliciosas. Infección inicial El grupo emplea URL y archivos adjuntos de correo electrónico de phishing como principales vectores de infección para descargar archivos zip maliciosos. Estos correos electrónicos están meticulosamente elaborados y se centran en las últimas noticias y asuntos relacionados con la defensa. A continuación se muestran algunos señuelos conocidos utilizados por SideCopy para la infección inicial: Anuncio de una convocatoria de propuestas para la Cátedra de Excelencia 2021 para el Centro de Estudios de Tierra y Guerra (CLAWS) en India. Documento señuelo consistente en un artículo publicado por el Centro de Estudios de Guerra Conjunta (CENJOWS) de la India. Se utilizó como señuelo un informe de la Observer Research Foundation (ORF, otro grupo de expertos independiente con sede en la India). Circular del Ministerio de Asuntos Exteriores de la India (MEA) a sus empleados y agregados. Correo electrónico relacionado con DRDO – Sala limpia de misiles K4. Además de todas estas campañas de correo electrónico que hemos descrito, SideCopy también utiliza trampas para atraer a las víctimas. Estas infecciones suelen consistir en archivos LNK maliciosos que muestran fotografías explícitas de mujeres. La siguiente figura muestra uno de los archivos PDF Decoy relacionados con DRDO utilizados por el grupo SideCopy. Figura 4: Documento señuelo utilizado por SideCopy (Fuente: Cyble) Vulnerabilidades explotadas Se ha detectado que SideCopy explota la vulnerabilidad de seguridad WinRAR 2023 CVE-2023-38831 como parte de sus ataques a entidades gubernamentales de la India. Esta vulnerabilidad permite a los atacantes ejecutar código arbitrario cuando un usuario intenta ver un archivo benigno dentro de un archivo ZIP. Esto se explotó libremente desde abril hasta octubre de 2023. Esta táctica se utiliza para distribuir una variedad de RAT, incluidas AllaKore RAT, Ares RAT y DetaRat Herramientas utilizadas por SideCopy SideCopy emplea una amplia gama de troyanos de acceso remoto (RAT) como su carga útil final. Estas RAT incluyen ActionRAT, Allakore RAT, AresRAT, CetaRAT, DetaRAT, EpicenterRAT, Lilith RAT, MargulasRAT, njRAT y ReverseRAT. Los investigadores pueden correlacionar las campañas en curso analizando las IP y los dominios asociados con ataques pasados, facilitando la identificación y el seguimiento de las actividades del grupo. Figura 5 – Herramientas SideCopy (Fuente: Cyble Vision) Action RAT: SideCopy ha utilizado Action RAT, una herramienta de acceso remoto escrita en Delphi, desde al menos diciembre de 2021 para apuntar al personal gubernamental en India y Afganistán. Allakore RAT: AllaKore es una herramienta básica de acceso remoto desarrollada en Delphi. Se identificó inicialmente en 2015, pero aún se encuentra en sus primeras fases de desarrollo. Utiliza el protocolo RFB, que se basa en buffers de cuadros, lo que le permite transmitir solo las partes alteradas de los cuadros de pantalla al controlador. Este enfoque acelera el transporte y facilita el control de la visualización. Ares RAT: Ares RAT, un RAT de código abierto basado en Python, posee capacidades como ejecutar comandos de shell, realizar capturas de pantalla y descargar archivos adicionales, entre otras funcionalidades. CetaRAT: CetaRAT, una familia de RAT basadas en C#, está diseñada para extraer datos del usuario y transmitirlos al servidor CnC. Tras la ejecución, se inicia recuperando detalles del producto antivirus en ejecución desde la máquina utilizando la función Getans() y posteriormente transmite esta información al servidor CnC. DetaRAT y MargulasRAT: Los nuevos troyanos DetaRAT y MargulasRAT tienen funciones especiales que se suelen utilizar para este tipo de malware. Violan los sistemas de una víctima creando un vínculo entre sus máquinas y un servidor de control de comandos (C2) que les permite robar datos, alterar los procesos del sistema, capturar capturas de pantalla, etc. EpicenterRAT: EpicenterRAT, a menudo vinculado al grupo APT Sidecar desde 2018, cuenta con una gama de funcionalidades. Estos incluyen recopilar información del sistema, realizar capturas de pantalla, ejecutar comandos para apagar, reiniciar o cerrar sesión en el sistema y la capacidad de desinstalarse. Lilith RAT: Lilith es una RAT de código abierto basada en consola diseñada en C++, reconocida por su diseño ultraligero. Ofrece una serie sencilla de comandos, lo que otorga un control casi total sobre una máquina específica. njRAT: njRAT, también conocido como Bladabindi, es una herramienta de acceso remoto (RAT) desarrollada en Visual Basic. Abarca una interfaz de usuario y funciona como un troyano, otorgando al titular del programa control sobre la computadora del usuario final. Los descubrimientos iniciales de njRAT se remontan a junio de 2013, con ciertas variantes que se remontan a noviembre de 2012. ReverseRAT: ReverseRat es una puerta trasera basada en .NET equipada con características como captura de pantalla, terminación de procesos, ejecución de ejecutables arbitrarios, operaciones de archivos, y carga de datos a un servidor remoto. El actor de amenazas ha desarrollado varias versiones de ReverseRat. Actividades de red: los actores de amenazas emplean dominios comprometidos para descargar archivos HTA iniciales, y la comunicación C&C se realiza a través de IP codificadas integradas en las cargas útiles finales. SideCopy ha reutilizado con frecuencia una infraestructura de red, donde diferentes dominios utilizados en varias campañas se resuelven en la misma dirección IP. Además, hay evidencia sustancial que sugiere que se utiliza una única dirección IP para las comunicaciones C&C en múltiples cargas finales. En particular, SideCopy utiliza predominantemente el ASN de Contabo GmbH en sus ataques. Relaciones con otros grupos APT: este actor de amenazas engaña intencionalmente a la comunidad de seguridad al adoptar tácticas, técnicas y procedimientos (TTP) que recuerdan a los grupos APT SideWinder y Rattlesnake. Existen sospechas de vínculos entre este actor de amenazas y Transparent Tribe, el grupo APT36 APT. Conclusión: SideCopy se ha centrado activamente en India, particularmente en su sector de defensa. La cadena de ataque empleada por SideCopy se dirige a las víctimas mediante campañas de phishing y señuelos trampa. Dado que los agentes paquistaníes han utilizado cada vez más trampas de miel para atraer al personal de defensa, el daño potencial que pueden infligir es significativo. Por lo tanto, es crucial tomar medidas decisivas para mitigar esta amenaza. Pakistán, junto con otros actores de amenazas a nivel mundial, ha estado utilizando trampas miel, con casos recientes que involucran el robo de inteligencia a través de esta forma de ciberespionaje. Recomendaciones: A continuación se detallan nuestras recomendaciones para evitar y detectar ataques de SideCopy: Capacitación en concientización del usuario: eduque a los usuarios sobre los riesgos de los correos electrónicos de phishing y las tácticas de ingeniería social utilizadas por SideCopy. Entrénelos para que reconozcan correos electrónicos, archivos adjuntos y enlaces sospechosos. Filtrado de correo electrónico: implemente soluciones sólidas de filtrado de correo electrónico para detectar y bloquear correos electrónicos de phishing que contengan archivos adjuntos maliciosos o enlaces asociados con campañas de SideCopy. Gestión de parches: actualice periódicamente el software y el firmware de los dispositivos de red, incluidos enrutadores y dispositivos IoT, para mitigar las vulnerabilidades explotadas por SideCopy. Segmentación de red: Segmente su red para limitar el movimiento lateral en caso de que SideCopy se comprometa con éxito. Implemente firewalls y controles de acceso para restringir el acceso no autorizado. Protección de endpoints: implemente soluciones de seguridad de endpoints con capacidades avanzadas de detección de amenazas para detectar y bloquear el malware SideCopy en los endpoints. Análisis de comportamiento: utilice herramientas de seguridad que emplean análisis de comportamiento para detectar y bloquear actividades sospechosas asociadas con SideCopy, como tráfico de red anómalo o comportamiento de archivos. Filtrado web: implemente soluciones de filtrado web para bloquear el acceso a dominios maliciosos conocidos asociados con campañas de SideCopy. Intercambio de inteligencia sobre amenazas: comparta inteligencia sobre amenazas con socios de la industria y autoridades relevantes para mejorar la defensa colectiva contra SideCopy y actores de amenazas similares. Plan de respuesta a incidentes: desarrolle y pruebe periódicamente un plan de respuesta a incidentes para garantizar una respuesta coordinada y eficaz en caso de un ataque SideCopy. Monitoreo continuo: implemente un monitoreo continuo del tráfico de red, registros del sistema y actividades de endpoints para detectar y responder a los ataques de SideCopy en tiempo real. Ataque MITRE Figura 6 – MITRE ATT&CK (Fuente: Cyble Vision) Adjunto de phishing (T1193): SideCopy puede utilizar correos electrónicos de phishing con archivos adjuntos maliciosos, como archivos ZIP que contienen archivos o documentos con enlaces disfrazados, para iniciar sus ataques. Comando y control (T1043): SideCopy establece comunicación con su servidor de comando y control mediante direcciones IP codificadas integradas en sus cargas útiles. Explotar aplicaciones públicas (T1190): SideCopy puede explotar vulnerabilidades en aplicaciones públicas, como la vulnerabilidad de seguridad WinRAR, para obtener acceso inicial a los sistemas de destino. Ejecución del usuario (T1204): SideCopy depende de la interacción del usuario para ejecutar archivos adjuntos maliciosos, como abrir archivos ZIP que contienen archivos de enlace o documentos disfrazados de archivos PDF o DOC. Ofuscación de datos (T1027): SideCopy puede ofuscar sus cargas maliciosas para evadir la detección por parte de analistas y herramientas de seguridad. Exfiltración a través del canal de comando y control (T1041): SideCopy puede exfiltrar datos robados a través de su canal de comando y control a un servidor remoto controlado por los actores de la amenaza. Enmascaramiento (T1036): SideCopy puede enmascarar sus cargas maliciosas como archivos legítimos, como archivos PDF o DOC, para engañar a las víctimas para que los ejecuten. Relacionado