在最近的网络攻击中,透明部落(APT36)使用了一种名为 ElizaRAT 的日益复杂的恶意软件。
Check Point Research 追踪了 ElizaRAT 的发展,发现自 2023 年 9 月公开披露以来,其执行方法、检测规避以及命令与控制通信均得到了改进。
ElizaRAT 活动首先执行相同的功能来验证系统是否设置为印度标准时间,这表明该活动针对的是印度系统。
透明部落(又名 APT36)是一个与巴基斯坦有关的威胁行为者,臭名昭著地以与印度有关的实体为目标。该威胁组织的主要目标是网络间谍活动,此前曾以政府组织、外交人员和军事设施为目标。最近,透明部落在几次成功的活动中使用一种名为 ElizaRAT 的新恶意软件瞄准印度实体。自首次发现以来,Check Point Research 一直在跟踪该恶意软件,发现其在存在期间的复杂性不断提高。具体而言,ElizaRAT 增强了其规避方法以及指挥和控制能力。
在这里,我们将揭开 ElizaRAT 的演变过程,并解释 Transparent Tribe 如何使用日益先进的恶意软件来攻击受害者。
ElizaRAT 的背景和演变
ElizaRAT 是一种 Windows 远程访问工具,于 2023 年 9 月披露,Transparent Tribe 用它来进行有针对性的攻击。感染通常通过 Google Storage 链接共享的可执行文件开始,可能是由于网络钓鱼行为。早期的变体依靠 Telegram 进行命令和控制 (C2) 通信。自首次发现以来,ElizaRAT 在执行方法、检测规避和 C2 通信方面不断发展,这在 2023 年末 阿富汗电话号码数据 至 2024 年初的三个不同活动中得到了证明。每个活动都使用不同的 ElizaRAT 变体来部署特定的有效载荷以进行自动信息收集。
根据恶意软件编译时间戳,攻击活动时间线
ElizaRAT 的典型特征包括使用 Google、Telegram 和 Slack 等云服务进行分发和 C2 通信,通常通过 CPL 文件执行。它采用的策略包括投放诱饵文档、创建恶意软件的快捷方式以及在泄露之前使用 SQLite 在本地存储受害者数据。
ElizaRAT 使用 Slack 进行 C2 通信
在三次活动中的第一次中,ElizaRAT 的一个变种 Slack API 使用 Slack 频道进行 C2 通信。该恶意软件创建于 2023 年底,以 CPL 文件的形式提供,因此很容易通过网络钓鱼攻击运行。它收集用户信息、记录操作、检查本地时区并投放假的 mp4 文件。该恶意软件将受害者详细信息发送到 C2 服务器并每分钟检查一次新命令。恶意软件中的 C2 通信使用 Slack 的 API 与攻击者交互。
ApolloStealer:新的有效载荷
在同一活动中,透明部落针对特定目标部署了新的有效载荷,Check Point 将其称为 ApoloStealer。该恶意软件是在 ElizaRAT Slack API 变体出现一个月后编译的。ApoloStealer 首先创建一个数据库文件,然后创建一个表来存储每个文件的数据。然后,该恶意软件收集受害者的桌面文件。存储所有相关文件后,ApoloStealer 会将它们发送到 C2 服务器。