Neue Bedrohung durch APT36 enthüllt: ElizaRAT-Malware: Gefährliche Mutation erkannt
Die pakistanische Hackergruppe APT36 rüstet auf: Ihr Schadprogramm breitet sich weiter aus und wird immer raffinierter. Mit verbesserten Techniken zeigt APT36 einmal mehr, wie Cyberkriminelle alltägliche digitale Werkzeuge in gefährliche Angriffswaffen verwandeln.
Check Point Research (CPR), die Abteilung für Bedrohungsanalysen von Check Point Software Technologies, hat in einem neuen Bericht die technischen und strategischen Fortschritte der Malware ElizaRAT untersucht. Dieses Schadprogramm wird von der Hackergruppe Transparent Tribe (auch bekannt als APT36) genutzt, einer Gruppe, die mit Pakistan in Verbindung gebracht wird und gezielt indische Organisationen angreift. ElizaRAT ist ihre neueste, immer raffinierter werdende Spionagesoftware.
Seit seiner Entdeckung im September 2023 wurde ElizaRAT weiterentwickelt, um Erkennungssysteme zu umgehen. Dabei greift die Malware auf gängige Cloud-Dienste und Kollaborationstools wie Google Drive, Telegram und Slack zurück, um unauffällig zu bleiben.
Technische Details zu ElizaRAT
Die Infektion erfolgt typischerweise über ausführbare Dateien, die über Google-Links verbreitet werden. Frühe Versionen nutzten Telegram für die Command-and-Control-Kommunikation (C2). Die Entwicklung von ElizaRAT lässt sich in drei Angriffswellen von Ende 2023 bis Anfang 2024 einteilen. In jeder Welle wurde eine andere Variante genutzt, um gezielt Daten zu stehlen.
Ein zentrales Merkmal von ElizaRAT ist die Zeitzonenüberprüfung: Die Malware greift nur Systeme an, die auf die indische Standardzeit eingestellt sind. Damit zeigt APT36, dass sie ihre Angriffe gezielt auf indische Systeme ausrichtet. In den letzten Angriffswellen wurden drei verschiedene Varianten von ElizaRAT identifiziert.
Dreiteilige Angriffskampagne von Transparent Tribe: Slack, Circle und Google Drive im Visier
In einer gezielten Angriffswelle nutzt die pakistanische Hackergruppe Transparent Tribe (APT36) die Malware ElizaRAT, um sensible Daten zu stehlen und Systeme auszuspionieren. Die Kampagne verläuft in drei Phasen und zeigt, wie Bedrohungsakteure vertrauenswürdige Plattformen für bösartige Zwecke einsetzen.
Phase 1: Slack als C2-Kommunikationskanal
In der ersten Angriffswelle, Ende 2023, setzte die Gruppe eine ElizaRAT-Variante ein, die die Slack-API für die Kommunikation mit ihren C2-Servern nutzt. Diese Version der Malware wird als CPL-Datei verbreitet, ideal für Phishing-Angriffe. Sie sammelt Benutzerinformationen, überwacht Aktivitäten, prüft die lokale Zeitzone und hinterlegt eine gefälschte MP4-Datei. Über die Slack-API kann die Malware regelmäßig Daten an die Angreifer senden und jede Minute auf neue Befehle prüfen.
Neben dieser Version wurde in der gleichen Kampagne ApoloStealer eingeführt, eine weitere Schadsoftware, die gezielt Daten von Zielgeräten erfasst. ApoloStealer erstellt eine Datenbank und speichert gezielt Desktop-Dateien der Opfer, die anschließend an die C2-Server übermittelt werden.
Phase 2: Circle – Versteckte Dropper und VPS
Im Januar 2024 veröffentlichte Transparent Tribe eine neue Variante namens Circle, die eine verbesserte Dropper-Komponente zur Verschleierung nutzt. Diese Variante verzichtet auf gängige Cloud-Dienste und setzt stattdessen auf einen eigenen virtuellen privaten Server (VPS) für die C2-Kommunikation. Der Dropper entpackt die eigentliche Malware, legt Köderdateien ab und bereitet die ElizaRAT-Malware auf die Ausführung vor.
Phase 3: Google Drive als neue Basis
Die dritte Phase nutzt Google Cloud für die C2-Kommunikation und weist ElizaRAT an, Nutzdaten von verschiedenen VPS herunterzuladen. In dieser Phase wurden zwei Nutzlasten identifiziert, die gezielt Informationen stehlen und für unterschiedliche Spionagezwecke konzipiert sind.
Sergey Shykevich, Threat Intelligence Manager bei Check Point Software, erläutert: „Die Entwicklung von ElizaRAT zeigt, wie fortgeschrittene Bedrohungsakteure ihre Methoden verfeinern, um alltägliche Tools für Cyberangriffe zu nutzen. Die gezielte Ausrichtung auf sicherheitsrelevante Einrichtungen unterstreicht die gefährlichen Folgen solcher Cyberspionage. Da Angreifer auf vertrauenswürdige Cloud-Plattformen wie Google und Slack zurückgreifen, sind präventive, KI-gestützte Sicherheitsmaßnahmen für Unternehmen unverzichtbar.“
Mit der zunehmenden Nutzung alltäglicher Plattformen für Cyberangriffe unterstreicht diese Kampagne die Dringlichkeit einer vorausschauenden Sicherheitsstrategie, die auf proaktive Bedrohungserkennung und Prävention setzt.
Mehr Informationen zu ElizaRAT gibt es im vollständigen Bericht von CPR.