Gefährliche Weiterentwicklung der APT36-Malware ElizaRAT

Check Point Research (CPR) hat in einem neuen Bericht die technischen und strategischen Weiterentwicklungen der Malware ElizaRAT analysiert. Das Schadprogramm wird von der Bedrohungsgruppe Transparent Tribe, auch bekannt als APT36, verwendet. Diese mit Pakistan verbundene Gruppe ist bekannt für ihre gezielten Cyberangriffe auf indische Einrichtungen. ElizaRAT ist ihre neueste Kreation von zunehmend ausgefeiten Spionagetools.

Check Point berichtet, dass ElizaRAT, seit seiner Entdeckung im September 2023, signifikante Weiterentwicklungen durchlief, die darauf abzielen, Erkennungsmechanismen zu umgehen. Dabei nutzt die Malware zunehmend weit verbreitete Cloud-Dienste und Kollaborationstools wie Google Drive, Telegram und Slack.

Technische Funktionsweise von ElizaRAT

Die Infektion beginnt in der Regel über ausführbare Dateien, die über Google-Links verbreitet werden. Frühere Varianten nutzten Telegram für die Command and Control (C2)-Kommunikation. Die Entwicklung, die ElizaRAT seit seiner Entdeckung zeigte sich in drei verschiedenen Kampagnen von Ende 2023 bis Anfang 2024. Bei jeder dieser Kampagnen wurde eine andere Variante von ElizaRAT eingesetzt, um bestimmte Nutzlasten für automatisierten Informationsdiebstahl zu platzieren.

Eines der Hauptmerkmale von ElizaRAT ist der spezifische Mechanismus zur Zeitzonenüberprüfung, welcher sicherstellt, dass die Malware ausschließlich Systeme angreift, die auf die indische Standardzeit eingestellt sind. Diese Präzisierung zeigt, dass APT36 ihre Kampagnen speziell auf indische Systeme zuschneidet. In den jüngsten Angriffswellen wurden drei verschiedene Varianten von ElizaRAT identifiziert.

Dreiteilige Kampagne: Slack, Circle und Google Drive

In der ersten von drei Kampagnen nutzte eine Variante von ElizaRAT namens Slack API Slack-Kanäle für ihre C2-Kommunikation. Die Ende 2023 entwickelte Malware wird als CPL-Datei bereitgestellt, wodurch sie leicht für Phishing-Angriffe eingesetzt werden kann. Sie sammelt Benutzerinformationen, protokolliert Aktionen, überprüft die lokale Zeitzone und legt eine gefälschte MP4-Datei ab. Die Malware sendet Opferdaten an den C2-Server und überprüft jede Minute, ob neue Befehle vorliegen. Die C2-Kommunikation in der Malware verwendet die API von Slack, um mit dem Angreifer zu interagieren.

In derselben Kampagne setzte Transparent Tribe eine neue Nutzlast für bestimmte Ziele ein, die Check Point ApoloStealer nannte. Die Malware wurde einen Monat nach der Slack-API-Variante ElizaRAT kompiliert. ApoloStealer erstellt zunächst eine Datenbankdatei und dann eine Tabelle, um Daten zu jeder Datei zu speichern. Anschließend sammelt die Malware die Desktop-Dateien ihrer Opfer. Sobald alle relevanten Dateien gespeichert sind, sendet ApoloStealer sie an den C2-Server.

Im Januar 2024 wurde die zweite Variante der ElizaRAT-Malware namens Circle veröffentlicht. Diese Version verfügt über eine verbesserte Dropper-Komponente, die die Erkennungsraten erheblich senkt. Die Circle-Kampagne verwendet eine Nutzlast wie die Slack-API-Nutzlast, vermeidet jedoch im Gegensatz zu anderen ElizaRAT-Varianten wie der Slack-API-Variante die Verwendung von Cloud-Diensten für die Befehls- und Steuerungsfunktion (C2) und verlässt sich bei der C2-Kommunikation auf einen primären virtuellen privaten Server (VPS).

Die Hauptfunktion des Droppers besteht darin, die Ausführung von ElizaRAT vorzubereiten. Er extrahiert eine ZIP-Datei, die die Malware enthält, und erstellt ein Arbeitsverzeichnis, in dem eine PDF-Köderdatei und eine MP4-Datei abgelegt werden. Die Malware hat, wie alle ElizaRAT-Malware, eine LNK-Datei für die Malware erstellt, obwohl keine der Malware die Datei verwendet. Die Beschreibung der LNK lautet „Slack API“, was auf eine Verbindung zur Slack-Kampagne hindeutet.

Wie frühere Versionen von ElizaRAT legt auch die dritte entdeckte Kampagne die Malware-Dateien ab, einschließlich der PDF-Köderdatei und der Hauptvariante von ElizaRAT. Diese Variante nutzt Google Cloud für ihre C2-Kommunikation und sendet Befehle zum Herunterladen der Nutzlast für die nächste Stufe von verschiedenen Virtual Private Servern (VPS). Check Point Research hat zwei in dieser Kampagne verwendete Nutzlasten identifiziert, die beide als Informationsdiebe fungieren und jeweils für einen bestimmten Zweck konzipiert sin

Roger Homrich

Recent Posts

Google schließt zwei Zero-Day-Lücken in Android

Betroffen sind Android 12, 13, 14 und 15. Google sind zielgerichtete Angriffe auf die beiden…

1 Stunde ago

Google schließt weitere schwerwiegende Sicherheitslücken in Chrome 130

Tenable vergibt für beide Schwachstellen einen CVSS-Basis-Score von 9,8. Zwei Use-after-free-Bugs erlauben möglicherweise das Einschleusen…

8 Stunden ago

Microsoft nennt weitere Details zu kostenpflichtigen Patches für Windows 10

Erstmals liegen Preise für Verbraucher vor. Sie zahlen weniger als Geschäftskunden. Dafür beschränkt Microsoft den…

1 Tag ago

Microsoft verschiebt erneut Copilot Recall

Die Entwickler arbeiten noch an weiteren „Verfeinerungen“. Windows Insider erhalten nun wohl eine erste Vorschau…

2 Tagen ago

GenKI im Job: Mitarbeitende schaffen Tatsachen

Laut Bitkom-Umfrage werden in jedem dritten Unternehmen in Deutschland private KI-Zugänge genutzt. Tendenz steigend.

2 Tagen ago

97 Prozent der Großunternehmen melden Cyber-Vorfälle

2023 erlitten neun von zehn Unternehmen in der DACH-Region Umsatzverluste und Kurseinbrüche in Folge von…

2 Tagen ago