Gefährliche Weiterentwicklung der APT36-Malware „ElizaRAT“

Check Point Research (CPR), die Threat-Intelligence-Abteilung von Check Point Software Technologies, hat in einem neuen Bericht die technischen und strategischen Weiterentwicklungen der Malware „ElizaRAT“ analysiert. Das Schadprogramm wird von der Bedrohungsgruppe Transparent-Tribe, auch bekannt als APT36, verwendet. Diese mit Pakistan verbundene Gruppe ist bekannt für ihre gezielten Cyber-Angriffe auf indische Einrichtungen. „ElizaRAT“ ist ihre neueste Kreation von zunehmend ausgefeilten Spionagetools.

Check Point berichtet, dass Elizarat, seit seiner Entdeckung im September 2023, signifikante Weiterentwicklungen durchlief, die darauf abzielen, Erkennungsmechanismen zu umgehen. Dabei nutzt die Malware zunehmend weit verbreitete Cloud-Dienste und Kollaborationstools wie Google-Drive, Telegram und Slack.

 

Technische Funktionsweise von Elizarat

Die Infektion beginnt in der Regel über ausführbare Dateien, die über Google-Links verbreitet werden. Frühere Varianten nutzten Telegram für die Command and Control (C2)-Kommunikation. Die Entwicklung, die Elizarat seit seiner Entdeckung zeigte sich in drei verschiedenen Kampagnen von Ende 2023 bis Anfang 2024. Bei jeder dieser Kampagnen wurde eine andere Variante von Elizarat eingesetzt, um bestimmte Nutzlasten für automatisierten Informationsdiebstahl zu platzieren.

Eines der Hauptmerkmale von Elizarat ist der spezifische Mechanismus zur Zeitzonenüberprüfung, welcher sicherstellt, dass die Malware ausschließlich Systeme angreift, die auf die indische Standardzeit eingestellt sind. Diese Präzisierung zeigt, dass APT36 ihre Kampagnen speziell auf indische Systeme zuschneidet. In den jüngsten Angriffswellen wurden drei verschiedene Varianten von Elizarat identifiziert.

 

Dreiteilige Kampagne: Slack, Circle und Google-Drive

In der ersten von drei Kampagnen nutzte eine Variante von Elizarat namens Slack-API Slack-Kanäle für ihre C2-Kommunikation. Die Ende 2023 entwickelte Malware wird als CPL-Datei bereitgestellt, wodurch sie leicht für Phishing-Angriffe eingesetzt werden kann. Sie sammelt Benutzerinformationen, protokolliert Aktionen, überprüft die lokale Zeitzone und legt eine gefälschte MP4-Datei ab. Die Malware sendet Opferdaten an den C2-Server und überprüft jede Minute, ob neue Befehle vorliegen. Die C2-Kommunikation in der Malware verwendet die API von Slack, um mit dem Angreifer zu interagieren.

In derselben Kampagne setzte Transparent-Tribe eine neue Nutzlast für bestimmte Ziele ein, die Check Point Apolostealer nannte. Die Malware wurde einen Monat nach der Slack-API-Variante Elizarat kompiliert. Apolostealer erstellt zunächst eine Datenbankdatei und dann eine Tabelle, um Daten zu jeder Datei zu speichern. Anschließend sammelt die Malware die Desktop-Dateien ihrer Opfer. Sobald alle relevanten Dateien gespeichert sind, sendet Apolostealer sie an den C2-Server.

Im Januar 2024 wurde die zweite Variante der Elizarat-Malware namens Circle veröffentlicht. Diese Version verfügt über eine verbesserte Dropper-Komponente, die die Erkennungsraten erheblich senkt. Die Circle-Kampagne verwendet eine Nutzlast wie die Slack-API-Nutzlast, vermeidet jedoch im Gegensatz zu anderen Elizarat-Varianten wie der Slack-API-Variante die Verwendung von Cloud-Diensten für die Befehls- und Steuerungsfunktion (C2) und verlässt sich bei der C2-Kommunikation auf einen primären virtuellen privaten Server (VPS).

Die Hauptfunktion des Droppers besteht darin, die Ausführung von Elizarat vorzubereiten. Er extrahiert eine ZIP-Datei, die die Malware enthält, und erstellt ein Arbeitsverzeichnis, in dem eine PDF-Köderdatei und eine MP4-Datei abgelegt werden. Die Malware hat, wie alle Elizarat-Malware, eine LNK-Datei für die Malware erstellt, obwohl keine der Malware die Datei verwendet. Die Beschreibung der LNK lautet „Slack API“, was auf eine Verbindung zur Slack-Kampagne hindeutet.

Wie frühere Versionen von Elizarat legt auch die dritte entdeckte Kampagne die Malware-Dateien ab, einschließlich der PDF-Köderdatei und der Hauptvariante von Elizarat. Diese Variante nutzt Google-Cloud für ihre C2-Kommunikation und sendet Befehle zum Herunterladen der Nutzlast für die nächste Stufe von verschiedenen Virtual-Private-Servern (VPS). Check Point Research hat zwei in dieser Kampagne verwendete Nutzlasten identifiziert, die beide als Informationsdiebe fungieren und jeweils für einen bestimmten Zweck konzipiert sind.

 

Sergey Shykevich, Threat Intelligence Group Manager bei Check Point Software, kommentiert: „Die Entwicklung von Elizarat ist ein klares Beispiel dafür, wie fortgeschrittene Bedrohungsakteure ihre Methoden verfeinern, um alltägliche digitale Tools für böswillige Zwecke zu nutzen. Die gezielte Ausrichtung auf kritische Einrichtungen, die wahrscheinlich mit der nationalen Sicherheit in Zusammenhang stehen, verdeutlicht die schwerwiegenden Auswirkungen solcher Cyberspionageaktivitäten. Da Angreifer vertrauenswürdige Cloud-Plattformen wie Google und Slack nutzen, müssen Unternehmen präventive, KI-gestützte Maßnahmen zur Bedrohungserkennung ergreifen. Wir bei Check Point sind bestrebt, diesen ausgeklügelten Bedrohungen immer einen Schritt voraus zu sein und sicherzustellen, dass unsere Kunden eine starke Sicherheitsstrategie verfolgen, bei der Prävention an erster Stelle steht, um auch bei der weiteren Entwicklung der Cyberlandschaft geschützt zu bleiben.“

Info: Mehr Informationen zu Elizarat im vollständigen Bericht von Check Point Research:
https://research.checkpoint.com/2024/the-evolution-of-transparent-tribes-new-malware/

Check Point