APT36 és az ElizaRAT fejlődése
Az APT36, más néven Transparent Tribe, egy pakisztáni kiberszereplő, amely arról híresült el, hogy folyamatosan indiai kormányzati szervezeteket, diplomáciai személyzetet és katonai létesítményeket vesz célba. Az APT36 számos kiberkémkedési kampányt folytatott Windows, Linux és Android rendszerek ellen. A legutóbbi kampányokban az APT36 egy különösen alattomos Windows RAT-ot használt, amely ElizaRAT néven ismert. Az ElizaRAT-ot először 2023-ban fedezték fel, és jelentősen továbbfejlesztették, hogy javítsák a kitérési technikáit, és fenntartsa a megbízhatóságot a C2 kommunikációval.
A Check Point Research (CPR) jelentése az ElizaRAT fejlődésére összpontosít. Megvizsgálja az APT36 által alkalmazott különböző payload-okat és infrastruktúrákat, valamint a rosszindulatú szoftver belső működését, beleértve a telepítési módszereket, a második fázisú payload-okat és a felhőinfrastruktúra használatát. A csoport által jelentett fenyegetést fokozza egy új, ApoloStealer nevű stealer, amelyet az APT36 arra használ, hogy a kompromittált rendszerekből összegyűjtse a célzott fájltípusokat, a metaadatokat, és továbbítsa az információkat a C2 szerverére. Az új stealer bevezetésével a csoport mostantól „lépésről lépésre” megközelítést alkalmazhat, és konkrét célpontokra szabott kártevőket telepíthet – mondja Sergey Shykevich, a Check Point fenyegetéselemző csoportjának vezetője. Ez biztosítja, hogy még ha a védők észlelik is a tevékenységüket, elsősorban csak a teljes kártevő-arzenál egy szegmensét tudják azonosítani. Fokozza a kihívást, hogy a csoport legitim szoftvereket, living off the land binárisokat (LoLBins) és olyan legitim szolgáltatásokat használ C2 kommunikációra, mint a Telegram, a Slack és a Google Drive. Shykevich szerint e szolgáltatások használata jelentősen megnehezítette a rosszindulatú programok kommunikációjának nyomon követését a hálózati forgalomban.
