Gefährliche Weiterentwicklung der APT36-Malware ElizaRAT

Check Point Research (CPR) hat in einem neuen Bericht die technischen und strategischen Weiterentwicklungen der Malware ElizaRAT analysiert. Das Schadprogramm wird von der Bedrohungsgruppe Transparent Tribe, auch bekannt als APT36, verwendet. Diese mit Pakistan verbundene Gruppe ist bekannt für ihre gezielten Cyberangriffe auf indische Einrichtungen. ElizaRAT ist ihre neueste Kreation von zunehmend ausgefeiten Spionagetools.

Check Point berichtet, dass ElizaRAT, seit seiner Entdeckung im September 2023, signifikante Weiterentwicklungen durchlief, die darauf abzielen, Erkennungsmechanismen zu umgehen. Dabei nutzt die Malware zunehmend weit verbreitete Cloud-Dienste und Kollaborationstools wie Google Drive, Telegram und Slack.

Technische Funktionsweise von ElizaRAT

Die Infektion beginnt in der Regel über ausführbare Dateien, die über Google-Links verbreitet werden. Frühere Varianten nutzten Telegram für die Command and Control (C2)-Kommunikation. Die Entwicklung, die ElizaRAT seit seiner Entdeckung zeigte sich in drei verschiedenen Kampagnen von Ende 2023 bis Anfang 2024. Bei jeder dieser Kampagnen wurde eine andere Variante von ElizaRAT eingesetzt, um bestimmte Nutzlasten für automatisierten Informationsdiebstahl zu platzieren.

Eines der Hauptmerkmale von ElizaRAT ist der spezifische Mechanismus zur Zeitzonenüberprüfung, welcher sicherstellt, dass die Malware ausschließlich Systeme angreift, die auf die indische Standardzeit eingestellt sind. Diese Präzisierung zeigt, dass APT36 ihre Kampagnen speziell auf indische Systeme zuschneidet. In den jüngsten Angriffswellen wurden drei verschiedene Varianten von ElizaRAT identifiziert.

Dreiteilige Kampagne: Slack, Circle und Google Drive

In der ersten von drei Kampagnen nutzte eine Variante von ElizaRAT namens Slack API Slack-Kanäle für ihre C2-Kommunikation. Die Ende 2023 entwickelte Malware wird als CPL-Datei bereitgestellt, wodurch sie leicht für Phishing-Angriffe eingesetzt werden kann. Sie sammelt Benutzerinformationen, protokolliert Aktionen, überprüft die lokale Zeitzone und legt eine gefälschte MP4-Datei ab. Die Malware sendet Opferdaten an den C2-Server und überprüft jede Minute, ob neue Befehle vorliegen. Die C2-Kommunikation in der Malware verwendet die API von Slack, um mit dem Angreifer zu interagieren.

In derselben Kampagne setzte Transparent Tribe eine neue Nutzlast für bestimmte Ziele ein, die Check Point ApoloStealer nannte. Die Malware wurde einen Monat nach der Slack-API-Variante ElizaRAT kompiliert. ApoloStealer erstellt zunächst eine Datenbankdatei und dann eine Tabelle, um Daten zu jeder Datei zu speichern. Anschließend sammelt die Malware die Desktop-Dateien ihrer Opfer. Sobald alle relevanten Dateien gespeichert sind, sendet ApoloStealer sie an den C2-Server.

Im Januar 2024 wurde die zweite Variante der ElizaRAT-Malware namens Circle veröffentlicht. Diese Version verfügt über eine verbesserte Dropper-Komponente, die die Erkennungsraten erheblich senkt. Die Circle-Kampagne verwendet eine Nutzlast wie die Slack-API-Nutzlast, vermeidet jedoch im Gegensatz zu anderen ElizaRAT-Varianten wie der Slack-API-Variante die Verwendung von Cloud-Diensten für die Befehls- und Steuerungsfunktion (C2) und verlässt sich bei der C2-Kommunikation auf einen primären virtuellen privaten Server (VPS).

Die Hauptfunktion des Droppers besteht darin, die Ausführung von ElizaRAT vorzubereiten. Er extrahiert eine ZIP-Datei, die die Malware enthält, und erstellt ein Arbeitsverzeichnis, in dem eine PDF-Köderdatei und eine MP4-Datei abgelegt werden. Die Malware hat, wie alle ElizaRAT-Malware, eine LNK-Datei für die Malware erstellt, obwohl keine der Malware die Datei verwendet. Die Beschreibung der LNK lautet „Slack API“, was auf eine Verbindung zur Slack-Kampagne hindeutet.

Wie frühere Versionen von ElizaRAT legt auch die dritte entdeckte Kampagne die Malware-Dateien ab, einschließlich der PDF-Köderdatei und der Hauptvariante von ElizaRAT. Diese Variante nutzt Google Cloud für ihre C2-Kommunikation und sendet Befehle zum Herunterladen der Nutzlast für die nächste Stufe von verschiedenen Virtual Private Servern (VPS). Check Point Research hat zwei in dieser Kampagne verwendete Nutzlasten identifiziert, die beide als Informationsdiebe fungieren und jeweils für einen bestimmten Zweck konzipiert sin

Roger Homrich

Recent Posts

Jeder zweite hat Probleme mit Internetanbieter

Laut EY haben innerhalb eines Jahres 22 Prozent der Haushalte ihren Provider gewechselt – nirgendwo…

16 Stunden ago

Tech-Unternehmen in Deutschland blicken mit Sorge auf die USA

Bitkom-Umfrage zeigt: 78 Prozent befürchten durch Trump-Sieg Schaden für die deutsche Wirtschaft.

18 Stunden ago

Support-Ende von Windows 10: Microsoft hält an TPM 2.0 für Windows 11 fest

Der Sicherheitschip ist laut Microsoft eine „Notwendigkeit“. Die Hardwareanforderungen für Windows 11 führen allerdings weiterhin…

21 Stunden ago

IONOS führt Preisrechner für Cloud-Dienste ein

Wer die Cloud-Angebote des IT-Dienstleisters nutzen will, kann ab sofort die Kosten noch vor Bereitstellung…

2 Tagen ago

Jahresrückblick: 467.000 neue schädliche Dateien täglich

Die Zahl der neuen schädlichen Dateien steigt seit 2021 kontinuierlich. 93 Prozent der Angriffe nehmen…

2 Tagen ago

Kaspersky-Prognose: Raffiniertere Deepfakes und mehr Abo-Betrug

Die zunehmende KI-Verbreitung erschwere die Erkennung von Fälschungen. Gleichzeitig begünstige der Abo-Trend das Aufkommen neuer…

3 Tagen ago