ElizaRAT
Check Point Research: APT36-Malware ElizaRAT entwickelt sich weiter
Das Schadprogramm der pakistanischen Hackergruppe APT36 weitet seine Aktivitäten aus und verbessert seine Techniken.
Check Point Research (CPR) hat in einem neuen Bericht die technischen und strategischen Weiterentwicklungen der Malware ElizaRAT analysiert. Das Schadprogramm wird von der Bedrohungsgruppe Transparent Tribe, auch bekannt als APT36, verwendet. Diese mit Pakistan verbundene Gruppe ist bekannt für ihre gezielten Cyber-Angriffe auf indische Einrichtungen. ElizaRAT ist ihre neueste Kreation von zunehmend ausgefeiten Spionagetools.
Check Point berichtet, dass ElizaRAT, seit seiner Entdeckung im September 2023, signifikante Weiterentwicklungen durchlief, die darauf abzielen, Erkennungsmechanismen zu umgehen. Dabei nutzt die Malware zunehmend weit verbreitete Cloud-Dienste und Kollaborationstools wie Google Drive, Telegram und Slack.
Technische Funktionsweise von ElizaRAT
Die Infektion beginnt in der Regel über ausführbare Dateien, die über Google-Links verbreitet werden. Frühere Varianten nutzten Telegram für die Command and Control (C2)-Kommunikation. Die Entwicklung, die ElizaRAT seit seiner Entdeckung zeigte sich in drei verschiedenen Kampagnen von Ende 2023 bis Anfang 2024. Bei jeder dieser Kampagnen wurde eine andere Variante von ElizaRAT eingesetzt, um bestimmte Nutzlasten für automatisierten Informationsdiebstahl zu platzieren.
Eines der Hauptmerkmale von ElizaRAT ist der spezifische Mechanismus zur Zeitzonenüberprüfung, welcher sicherstellt, dass die Malware ausschließlich Systeme angreift, die auf die indische Standardzeit eingestellt sind. Diese Präzisierung zeigt, dass APT36 ihre Kampagnen speziell auf indische Systeme zuschneidet. In den jüngsten Angriffswellen wurden drei verschiedene Varianten von ElizaRAT identifiziert.
Dreiteilige Kampagne: Slack, Circle und Google Drive
In der ersten von drei Kampagnen nutzte eine Variante von ElizaRAT namens Slack API Slack-Kanäle für ihre C2-Kommunikation. Die Ende 2023 entwickelte Malware wird als CPL-Datei bereitgestellt, wodurch sie leicht für Phishing-Angriffe eingesetzt werden kann. Sie sammelt Benutzerinformationen, protokolliert Aktionen, überprüft die lokale Zeitzone und legt eine gefälschte MP4-Datei ab. Die Malware sendet Opferdaten an den C2-Server und überprüft jede Minute, ob neue Befehle vorliegen. Die C2-Kommunikation in der Malware verwendet die API von Slack, um mit dem Angreifer zu interagieren.
In derselben Kampagne setzte Transparent Tribe eine neue Nutzlast für bestimmte Ziele ein, die Check Point ApoloStealer nannte. Die Malware wurde einen Monat nach der Slack-API-Variante ElizaRAT kompiliert. ApoloStealer erstellt zunächst eine Datenbankdatei und dann eine Tabelle, um Daten zu jeder Datei zu speichern. Anschließend sammelt die Malware die Desktop-Dateien ihrer Opfer. Sobald alle relevanten Dateien gespeichert sind, sendet ApoloStealer sie an den C2-Server.
Im Januar 2024 wurde die zweite Variante der ElizaRAT-Malware namens Circle veröffentlicht. Diese Version verfügt über eine verbesserte Dropper-Komponente, die die Erkennungsraten erheblich senkt. Die Circle-Kampagne verwendet eine Nutzlast wie die Slack-API-Nutzlast, vermeidet jedoch im Gegensatz zu anderen ElizaRAT-Varianten wie der Slack-API-Variante die Verwendung von Cloud-Diensten für die Befehls- und Steuerungsfunktion (C2) und verlässt sich bei der C2-Kommunikation auf einen primären virtuellen privaten Server (VPS).
Die Hauptfunktion des Droppers besteht darin, die Ausführung von ElizaRAT vorzubereiten. Er extrahiert eine ZIP-Datei, die die Malware enthält, und erstellt ein Arbeitsverzeichnis, in dem eine PDF-Köderdatei und eine MP4-Datei abgelegt werden. Die Malware hat, wie alle ElizaRAT-Malware, eine LNK-Datei für die Malware erstellt, obwohl keine der Malware die Datei verwendet. Die Beschreibung der LNK lautet „Slack API“, was auf eine Verbindung zur Slack-Kampagne hindeutet.
Wie frühere Versionen von ElizaRAT legt auch die dritte entdeckte Kampagne die Malware-Dateien ab, einschließlich der PDF-Köderdatei und der Hauptvariante von ElizaRAT. Diese Variante nutzt Google Cloud für ihre C2-Kommunikation und sendet Befehle zum Herunterladen der Nutzlast für die nächste Stufe von verschiedenen Virtual Private Servern (VPS). Check Point Research hat zwei in dieser Kampagne verwendete Nutzlasten identifiziert, die beide als Informationsdiebe fungieren und jeweils für einen bestimmten Zweck konzipiert sind.
Sergey Shykevich, Threat Intelligence Group Manager bei Check Point Software, kommentiert:
„Die Entwicklung von ElizaRAT ist ein klares Beispiel dafür, wie fortgeschrittene Bedrohungsakteure ihre Methoden verfeinern, um alltägliche digitale Tools für böswillige Zwecke zu nutzen. Die gezielte Ausrichtung auf kritische Einrichtungen, die wahrscheinlich mit der nationalen Sicherheit in Zusammenhang stehen, verdeutlicht die schwerwiegenden Auswirkungen solcher Cyberspionageaktivitäten. Da Angreifer vertrauenswürdige Cloud-Plattformen wie Google und Slack nutzen, müssen Unternehmen präventive, KI-gestützte Maßnahmen zur Bedrohungserkennung ergreifen. Wir bei Check Point sind bestrebt, diesen ausgeklügelten Bedrohungen immer einen Schritt voraus zu sein und sicherzustellen, dass unsere Kunden eine starke Sicherheitsstrategie verfolgen, bei der Prävention an erster Stelle steht, um auch bei der weiteren Entwicklung der Cyberlandschaft geschützt zu bleiben.“