Gefährliche Weiterentwicklung der APT36-Malware ElizaRAT

Check Point Research (CPR) hat in einem neuen Bericht die technischen und strategischen Weiterentwicklungen der Malware ElizaRAT analysiert. Das Schadprogramm wird von der Bedrohungsgruppe Transparent Tribe, auch bekannt als APT36, verwendet. Diese mit Pakistan verbundene Gruppe ist bekannt für ihre gezielten Cyberangriffe auf indische Einrichtungen. ElizaRAT ist ihre neueste Kreation von zunehmend ausgefeiten Spionagetools.

Check Point berichtet, dass ElizaRAT, seit seiner Entdeckung im September 2023, signifikante Weiterentwicklungen durchlief, die darauf abzielen, Erkennungsmechanismen zu umgehen. Dabei nutzt die Malware zunehmend weit verbreitete Cloud-Dienste und Kollaborationstools wie Google Drive, Telegram und Slack.

Technische Funktionsweise von ElizaRAT

Die Infektion beginnt in der Regel über ausführbare Dateien, die über Google-Links verbreitet werden. Frühere Varianten nutzten Telegram für die Command and Control (C2)-Kommunikation. Die Entwicklung, die ElizaRAT seit seiner Entdeckung zeigte sich in drei verschiedenen Kampagnen von Ende 2023 bis Anfang 2024. Bei jeder dieser Kampagnen wurde eine andere Variante von ElizaRAT eingesetzt, um bestimmte Nutzlasten für automatisierten Informationsdiebstahl zu platzieren.

Eines der Hauptmerkmale von ElizaRAT ist der spezifische Mechanismus zur Zeitzonenüberprüfung, welcher sicherstellt, dass die Malware ausschließlich Systeme angreift, die auf die indische Standardzeit eingestellt sind. Diese Präzisierung zeigt, dass APT36 ihre Kampagnen speziell auf indische Systeme zuschneidet. In den jüngsten Angriffswellen wurden drei verschiedene Varianten von ElizaRAT identifiziert.

Dreiteilige Kampagne: Slack, Circle und Google Drive

In der ersten von drei Kampagnen nutzte eine Variante von ElizaRAT namens Slack API Slack-Kanäle für ihre C2-Kommunikation. Die Ende 2023 entwickelte Malware wird als CPL-Datei bereitgestellt, wodurch sie leicht für Phishing-Angriffe eingesetzt werden kann. Sie sammelt Benutzerinformationen, protokolliert Aktionen, überprüft die lokale Zeitzone und legt eine gefälschte MP4-Datei ab. Die Malware sendet Opferdaten an den C2-Server und überprüft jede Minute, ob neue Befehle vorliegen. Die C2-Kommunikation in der Malware verwendet die API von Slack, um mit dem Angreifer zu interagieren.

In derselben Kampagne setzte Transparent Tribe eine neue Nutzlast für bestimmte Ziele ein, die Check Point ApoloStealer nannte. Die Malware wurde einen Monat nach der Slack-API-Variante ElizaRAT kompiliert. ApoloStealer erstellt zunächst eine Datenbankdatei und dann eine Tabelle, um Daten zu jeder Datei zu speichern. Anschließend sammelt die Malware die Desktop-Dateien ihrer Opfer. Sobald alle relevanten Dateien gespeichert sind, sendet ApoloStealer sie an den C2-Server.

Im Januar 2024 wurde die zweite Variante der ElizaRAT-Malware namens Circle veröffentlicht. Diese Version verfügt über eine verbesserte Dropper-Komponente, die die Erkennungsraten erheblich senkt. Die Circle-Kampagne verwendet eine Nutzlast wie die Slack-API-Nutzlast, vermeidet jedoch im Gegensatz zu anderen ElizaRAT-Varianten wie der Slack-API-Variante die Verwendung von Cloud-Diensten für die Befehls- und Steuerungsfunktion (C2) und verlässt sich bei der C2-Kommunikation auf einen primären virtuellen privaten Server (VPS).

Die Hauptfunktion des Droppers besteht darin, die Ausführung von ElizaRAT vorzubereiten. Er extrahiert eine ZIP-Datei, die die Malware enthält, und erstellt ein Arbeitsverzeichnis, in dem eine PDF-Köderdatei und eine MP4-Datei abgelegt werden. Die Malware hat, wie alle ElizaRAT-Malware, eine LNK-Datei für die Malware erstellt, obwohl keine der Malware die Datei verwendet. Die Beschreibung der LNK lautet „Slack API“, was auf eine Verbindung zur Slack-Kampagne hindeutet.

Wie frühere Versionen von ElizaRAT legt auch die dritte entdeckte Kampagne die Malware-Dateien ab, einschließlich der PDF-Köderdatei und der Hauptvariante von ElizaRAT. Diese Variante nutzt Google Cloud für ihre C2-Kommunikation und sendet Befehle zum Herunterladen der Nutzlast für die nächste Stufe von verschiedenen Virtual Private Servern (VPS). Check Point Research hat zwei in dieser Kampagne verwendete Nutzlasten identifiziert, die beide als Informationsdiebe fungieren und jeweils für einen bestimmten Zweck konzipiert sin

Roger Homrich

Recent Posts

Studie: Ein Drittel aller E-Mails an Unternehmen sind unerwünscht

Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…

1 Tag ago

HubPhish: Phishing-Kampagne zielt auf europäische Unternehmen

Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…

2 Tagen ago

1. Januar 2025: Umstieg auf E-Rechnung im B2B-Geschäftsverkehr

Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.

2 Tagen ago

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…

2 Tagen ago

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

3 Tagen ago

Hacker missbrauchen Google Calendar zum Angriff auf Postfächer

Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…

4 Tagen ago