Μια νέα έκθεση της Check Point αναφέρει ότι οι Πακιστανοί hackers APT36 έχουν στοχεύσει οντότητες υψηλού προφίλ στην Ινδία, με το ElizaRAT, στα πλαίσια επιθέσεων κυβερνοκατασκοπείας.
Οι ερευνητές της Check Point παρακολουθούν στενά τη χρήση του ElizaRAT, που δημιουργήθηκε από την κρατική hacking ομάδα του Πακιστάν APT36 (ή Transparent Tribe). Κατά τη διάρκεια του 2024, εντοπίστηκαν αρκετές καμπάνιες που χρησιμοποιούσαν το trojan.
ElizaRAT malware
Το ElizaRAT χρησιμοποιείται τουλάχιστον από τον Σεπτέμβριο του 2023. Οι μολύνσεις προκαλούνται συχνά από Windows Control Panel (CPL) files που διανέμονται μέσω Google Storage links, τα οποία με τη σειρά τους διανέμονται πιθανώς μέσω phishing μηνυμάτων. Το ElizaRAT χρησιμοποιεί υπηρεσίες cloud όπως το Google, το Telegram και το Slack για τη διανομή και το command and control (C2) communication.
Δείτε επίσης: Οι hackers RomCom στοχεύουν ουκρανικές υπηρεσίες με το SingleCamper RAT
Perseverance: Μελετά τους αρχαιότερους βράχους στον Άρη
Μυστήρια drones στο New Jersey: Τι λέει το Πεντάγωνο;
Οι κομήτες έπαιξαν «μείζονα» ρόλο για τη ζωή στη Γη
Το ElizaRAT είναι γραμμένο σε .NET και χρησιμοποιεί το Costura για να ενσωματώσει .NET και assembly modules. Προσπαθεί να ξεγελάσει τα θύματα με διάφορα δολώματα (έγγραφα ή βίντεο).
Στα περισσότερα δείγματα, χρησιμοποιεί το IWSHshell για να δημιουργήσει Windows shortcut στο κακόβουλο λογισμικό. Επίσης, χρησιμοποιεί το SQLite ως πόρο για την αποθήκευση αρχείων από το μηχάνημα του θύματος σε μια τοπική βάση δεδομένων (πριν την κλοπή). Επίσης, το ElizaRAT δημιουργεί και αποθηκεύει ένα μοναδικό αναγνωριστικό θύματος σε ξεχωριστό αρχείο στο μηχάνημα.
Οι Πακιστανοί hackers APT36 έχουν βελτιώσει το ElizaRAT
Από τα τέλη του 2023, οι μέθοδοι εκτέλεσης του ElizaRAT, οι δυνατότητες αποφυγής εντοπισμού και η επικοινωνία C2 έχουν εξελιχθεί.
Η Check Point Research παρατήρησε ότι σε τρεις καμπάνιες, από το τέλος του 2023 έως τις αρχές του 2024, ο εισβολέας χρησιμοποίησε μια διαφορετική παραλλαγή του ElizaRAT για τη λήψη συγκεκριμένων payloads δεύτερου σταδίου, που συλλέγουν αυτόματα πληροφορίες.
Δείτε επίσης: Η ScarCruft διαδίδει το RokRAT malware μέσω Windows Zero-Day
Οι ερευνητές μοιράστηκαν μια τεχνική ανάλυση για καθεμία από αυτές τις καμπάνιες. Η ανάλυσή τους αποκάλυψε συνεχείς βελτιώσεις στις τεχνικές αποφυγής του ElizaRAT, που οδήγησαν σε μια νέα έκδοση που ονομάζεται Circle ElizaRAT. Επίσης, εισήχθη ένα νέο stealer payload, το ApoloStealer.
«Η εξέλιξη του ElizaRAT αντικατοπτρίζει τις σκόπιμες προσπάθειες της APT36 να βελτιώσει το κακόβουλο λογισμικό για να αποφύγει καλύτερα τον εντοπισμό και να στοχεύσει αποτελεσματικά τις ινδικές οντότητες», κατέληξαν οι ερευνητές της Check Point. «Η εισαγωγή νέων payloads, όπως το ApoloStealer, σηματοδοτεί μια σημαντική επέκταση του “οπλοστασίου” της APT36 και υποδηλώνει ότι η ομάδα υιοθετεί μια πιο ευέλικτη, αρθρωτή προσέγγιση για την ανάπτυξη payload. Αυτές οι μέθοδοι επικεντρώνονται πρωτίστως στη συλλογή δεδομένων και τη διείσδυση, υπογραμμίζοντας τη διαρκή έμφαση που δίνουν στη συλλογή πληροφοριών και την κατασκοπεία».
Ποιες είναι οι βέλτιστες μέθοδοι προστασίας από RAT malware;
Η πρώτη και πιο σημαντική μέθοδος προστασίας είναι η ενημέρωση και η εκπαίδευση. Οι χρήστες πρέπει να γνωρίζουν τις τεχνικές που χρησιμοποιούν οι επιτιθέμενοι για να διαδώσουν το malware ώστε να μπορούν να τις αναγνωρίσουν και να τις αποφύγουν.
Δείτε επίσης: Το PondRAT malware στοχεύει προγραμματιστές με πακέτα Python
Η εγκατάσταση ενός αξιόπιστου λογισμικού ασφαλείας είναι άλλη μία βασική μέθοδος προστασίας από malware. Αυτό το λογισμικό πρέπει να περιλαμβάνει antivirus, anti-spyware και anti-malware λειτουργίες, καθώς και προστασία από phishing.
Επίσης, είναι σημαντικό να διατηρείτε το λειτουργικό σύστημα και όλες τις εφαρμογές ενημερωμένες. Οι ενημερώσεις περιλαμβάνουν διορθώσεις ασφαλείας που μπορούν να προστατεύσουν τον υπολογιστή σας από τις τελευταίες απειλές.
Τέλος, η προσεκτική αλληλεπίδραση με τα ηλεκτρονικά μηνύματα και τα συνημμένα αρχεία είναι ζωτικής σημασίας. Ποτέ μην ανοίγετε συνημμένα και μην κάνετε κλικ σε συνδέσμους από άγνωστες πηγές γιατί μπορεί να περιέχουν malware.
Πηγή: www.infosecurity-magazine.com