Home » News » Cybersecurity » ElizaRAT-Malware: Gefährliche Mutation erkannt

Neue Bedrohung durch APT36 enthüllt: ElizaRAT-Malware: Gefährliche Mutation erkannt

Die pakistanische Hackergruppe APT36 rüstet auf: Ihr Schadprogramm breitet sich weiter aus und wird immer raffinierter. Mit verbesserten Techniken zeigt APT36 einmal mehr, wie Cyberkriminelle alltägliche digitale Werkzeuge in gefährliche Angriffswaffen verwandeln.

3 Min. Lesezeit
Malware mit rotem, glühendem Totenkopf
Foto: ©AdobeStock/Natalia

Check Point Research (CPR), die Abteilung für Bedrohungsanalysen von Check Point Software Technologies, hat in einem neuen Bericht die technischen und strategischen Fortschritte der Malware ElizaRAT untersucht. Dieses Schadprogramm wird von der Hackergruppe Transparent Tribe (auch bekannt als APT36) genutzt, einer Gruppe, die mit Pakistan in Verbindung gebracht wird und gezielt indische Organisationen angreift. ElizaRAT ist ihre neueste, immer raffinierter werdende Spionagesoftware.

Seit seiner Entdeckung im September 2023 wurde ElizaRAT weiterentwickelt, um Erkennungssysteme zu umgehen. Dabei greift die Malware auf gängige Cloud-Dienste und Kollaborationstools wie Google Drive, Telegram und Slack zurück, um unauffällig zu bleiben.

Technische Details zu ElizaRAT

Die Infektion erfolgt typischerweise über ausführbare Dateien, die über Google-Links verbreitet werden. Frühe Versionen nutzten Telegram für die Command-and-Control-Kommunikation (C2). Die Entwicklung von ElizaRAT lässt sich in drei Angriffswellen von Ende 2023 bis Anfang 2024 einteilen. In jeder Welle wurde eine andere Variante genutzt, um gezielt Daten zu stehlen.

Ein zentrales Merkmal von ElizaRAT ist die Zeitzonenüberprüfung: Die Malware greift nur Systeme an, die auf die indische Standardzeit eingestellt sind. Damit zeigt APT36, dass sie ihre Angriffe gezielt auf indische Systeme ausrichtet. In den letzten Angriffswellen wurden drei verschiedene Varianten von ElizaRAT identifiziert.

Dreiteilige Angriffskampagne von Transparent Tribe: Slack, Circle und Google Drive im Visier

In einer gezielten Angriffswelle nutzt die pakistanische Hackergruppe Transparent Tribe (APT36) die Malware ElizaRAT, um sensible Daten zu stehlen und Systeme auszuspionieren. Die Kampagne verläuft in drei Phasen und zeigt, wie Bedrohungsakteure vertrauenswürdige Plattformen für bösartige Zwecke einsetzen.

Phase 1: Slack als C2-Kommunikationskanal

In der ersten Angriffswelle, Ende 2023, setzte die Gruppe eine ElizaRAT-Variante ein, die die Slack-API für die Kommunikation mit ihren C2-Servern nutzt. Diese Version der Malware wird als CPL-Datei verbreitet, ideal für Phishing-Angriffe. Sie sammelt Benutzerinformationen, überwacht Aktivitäten, prüft die lokale Zeitzone und hinterlegt eine gefälschte MP4-Datei. Über die Slack-API kann die Malware regelmäßig Daten an die Angreifer senden und jede Minute auf neue Befehle prüfen.

Neben dieser Version wurde in der gleichen Kampagne ApoloStealer eingeführt, eine weitere Schadsoftware, die gezielt Daten von Zielgeräten erfasst. ApoloStealer erstellt eine Datenbank und speichert gezielt Desktop-Dateien der Opfer, die anschließend an die C2-Server übermittelt werden.

Phase 2: Circle – Versteckte Dropper und VPS

Im Januar 2024 veröffentlichte Transparent Tribe eine neue Variante namens Circle, die eine verbesserte Dropper-Komponente zur Verschleierung nutzt. Diese Variante verzichtet auf gängige Cloud-Dienste und setzt stattdessen auf einen eigenen virtuellen privaten Server (VPS) für die C2-Kommunikation. Der Dropper entpackt die eigentliche Malware, legt Köderdateien ab und bereitet die ElizaRAT-Malware auf die Ausführung vor.

Phase 3: Google Drive als neue Basis

Die dritte Phase nutzt Google Cloud für die C2-Kommunikation und weist ElizaRAT an, Nutzdaten von verschiedenen VPS herunterzuladen. In dieser Phase wurden zwei Nutzlasten identifiziert, die gezielt Informationen stehlen und für unterschiedliche Spionagezwecke konzipiert sind.

Sergey Shykevich, Threat Intelligence Manager bei Check Point Software, erläutert: „Die Entwicklung von ElizaRAT zeigt, wie fortgeschrittene Bedrohungsakteure ihre Methoden verfeinern, um alltägliche Tools für Cyberangriffe zu nutzen. Die gezielte Ausrichtung auf sicherheitsrelevante Einrichtungen unterstreicht die gefährlichen Folgen solcher Cyberspionage. Da Angreifer auf vertrauenswürdige Cloud-Plattformen wie Google und Slack zurückgreifen, sind präventive, KI-gestützte Sicherheitsmaßnahmen für Unternehmen unverzichtbar.“

Mit der zunehmenden Nutzung alltäglicher Plattformen für Cyberangriffe unterstreicht diese Kampagne die Dringlichkeit einer vorausschauenden Sicherheitsstrategie, die auf proaktive Bedrohungserkennung und Prävention setzt.

Mehr Informationen zu ElizaRAT gibt es im vollständigen Bericht von CPR.

Andere interessante News

Meeting und Laptop mit AI-Symbol

Greenwashing war gestern: Jetzt kommt das AI-Washing

AI-Washing hat sich als neue PR-Strategie etabliert: Unternehmen nutzen das Buzzword „KI“, um innovativer zu wirken – oft ohne substanzielle Technologien dahinter. Diese Praxis sch...

Trends 2025

Welche Trends 2025 in Sachen KI, Investitionsverhalten und Containment durchschlagen

2025 – ein Jahr des tiefgreifenden Wandels der Cybersicherheit: Künstliche Intelligenz wird neu definiert, Unternehmen kämpfen mit der Balance zwischen Innovation und Sicherheit, u...

Digitaler Chatbot

2. Jahrestag von ChatGPT: Als eine neue KI-Generation die Welt erblickte

Generative KI hat die Welt verändert: Mit der Einführung von ChatGPT vor zwei Jahren wurde Künstliche Intelligenz erstmals alltagstauglich. Sie kommuniziert, versteht und erstellt ...