Pakistan’ın APT36 tehdit grubu, geçtiğimiz yıl Hindistan hükümet kurumlarına, askeri kuruluşlara ve diplomatik misyonlara yönelik artan sayıda başarılı saldırıda, temel ElizaRAT özel implantının yeni ve geliştirilmiş bir versiyonunu kullanıyor.
Check Point Research (CPR) araştırmacıları, en yeni ElizaRAT versiyonunun yeni kaçırma teknikleri, gelişmiş komuta ve kontrol (C2) yetenekleri ve savunucuların kötü amaçlı yazılımı tespit etmesini zorlaştıran ek bir damlalık bileşeni içerdiğini belirtiyor. analiz ederken keşfedildi Grubun son zamanlardaki faaliyetleri. APT36’nın ele geçirilen sistemlerden hedeflenen dosya türlerini toplamak, bunların meta verilerini depolamak ve bilgileri saldırganın C2 sunucusuna aktarmak için kullanmaya başladığı ApoloStealer adlı yeni bir hırsız yükü, tehdidi daha da artırıyor.
Adım Adım Siber Saldırı Yeteneği
Check Point Software tehdit istihbaratı grup yöneticisi Sergey Shykevich, “Yeni hırsız yazılımının piyasaya sürülmesiyle grup artık belirli hedeflere göre uyarlanmış kötü amaçlı yazılımları dağıtarak ‘adım adım’ bir yaklaşım uygulayabiliyor” diyor. “Bu, savunucuların faaliyetlerini tespit etseler bile öncelikle genel kötü amaçlı yazılım cephaneliğinin yalnızca bir bölümünü bulmalarını sağlar.”
Tehdit grubunun meşru yazılım kullanması, karadaki ikili dosyalardan (LoLBins) geçinmesi ve Telegram, Slack ve C2 iletişimleri için Google Drive gibi meşru hizmetlerden yararlanması, bu zorluğu daha da artırıyor. Shykevich, bu hizmetlerin kullanımının ağ trafiğindeki kötü amaçlı yazılım iletişimlerini izleme görevini önemli ölçüde karmaşıklaştırdığını söylüyor.
Güvenlik satıcılarının çeşitli şekillerde takip ettiği APT36 Şeffaf Kabile, C-Majör Operasyonu, Dünya KarkaddanVe Efsanevi LeoparPakistanlı bir tehdit grubudur. 2013’ten beri çok sayıda istihbarat toplama operasyonunda öncelikli olarak Hindistan hükümetini ve askeri birimleri hedef alıyor. Diğer birçok sıkı odaklanmış tehdit grubu gibi, APT36’nın kampanyaları da zaman zaman Avrupa, Avustralya ve ABD dahil diğer ülkelerdeki kuruluşları hedef alıyor.
Tehdit aktörünün mevcut kötü amaçlı yazılım portföyü, Windows, Android ve giderek artan şekilde Linux cihazlarının güvenliğini tehlikeye atmaya yönelik araçlar içeriyor. Bu yılın başlarında BlackBerry, grubun saldırılarının %65’inin gerçekleştiği bir APT36 kampanyası bildirmişti. ilgili ELF ikili dosyaları (Bağlanabilir Yürütülebilir ve Bağlanabilir Format), Hindistan savunma bakanlığının Windows’a alternatif olarak geliştirdiği Unix benzeri bir işletim sistemi olan Maya OS’yi hedef alıyor. Ve SentinelOne geçen yıl APT36’yı romantik yemler kullanarak gözlemlediğini bildirdi. CopraRAT adlı kötü amaçlı yazılımı yaymak Hintli diplomatik ve askeri personele ait Android cihazlarda.
ElizaRAT, tehdit aktörünün geçen Eylül ayında saldırı kitine dahil ettiği kötü amaçlı yazılımdır. Grup, kötü amaçlı yazılımı, Google Depolama Alanında depolanan kötü amaçlı Kontrol Paneli dosyalarına (CPL) bağlantılar içeren kimlik avı e-postaları aracılığıyla dağıtıyor. Bir kullanıcı CPL dosyasını açtığında, cihaza kötü amaçlı yazılım bulaşmasını başlatan kodu çalıştırır ve potansiyel olarak saldırganın sisteme uzaktan erişmesini veya sistem üzerinde kontrol sahibi olmasını sağlar.
Üç Kampanya, Üç Versiyon
Check Point araştırmacıları, geçtiğimiz yıl APT36 aktörlerinin ElizaRAT’ın en az üç farklı versiyonunu üç ayrı kampanyada kullandığını gözlemledi (hepsi Hintli varlıkları hedef alıyordu).
Bunlardan ilki, C2 altyapısı olarak Slack kanallarını kullanan bir ElizaRAT çeşidiydi. APT36 bu varyantı geçen yılın sonlarında kullanmaya başladı ve yaklaşık bir ay sonra ApoloStealer’ı onunla birlikte dağıtmaya başladı. Bu yılın başından itibaren tehdit grubu, ElizaRAT’ın yeni ve geliştirilmiş bir sürümünü içeren sıkıştırılmış bir dosyayı gizlice bırakmak ve paketinden çıkarmak için bir damlalık bileşeni kullanmaya başladı. Yeni varyant, tıpkı selefi gibi, kötü niyetli faaliyetleri yürütmeden ve daha fazla kötü amaçlı faaliyette bulunmadan önce ilk olarak, bulunduğu makinenin saat diliminin Hindistan Standart Saati’ne ayarlanıp ayarlanmadığını kontrol etti.
En son üçüncü sürüm, C2 iletişimleri için Google Drive’ı kullanır. ElizaRAT için bir damlalık görevi gören kötü amaçlı CPL dosyaları aracılığıyla kurban sistemlerine ulaşıyor. CPL dosyaları, kötü amaçlı yazılım için bir çalışma dizini oluşturmak, kalıcılık sağlamak ve kurbanı C2 sunucusuna kaydetmek gibi çeşitli görevleri yerine getirir. Shykevich, en son sürümü önceki iki ElizaRAT yinelemesinden ayıran şeyin, C2 iletişimi için Google Cloud gibi bulut hizmetlerini sürekli kullanması olduğunu söylüyor. Buna ek olarak, en son APT36 kampanyasında, tehdit aktörünün güvenliği ihlal edilmiş bir cihaza bağlı olabilecek USB’lerdeki ve diğer harici sürücülerdeki dosyaları incelemek için kullandığı ConnectX adlı yeni bir USB hırsızının da yer aldığı belirtiliyor.
CPR raporunda, “ApolloStealer gibi yeni yüklerin tanıtılması, APT36’nın kötü amaçlı yazılım cephaneliğinde önemli bir genişlemeye işaret ediyor ve grubun yük dağıtımında daha esnek, modüler bir yaklaşım benimsediğini gösteriyor.” dedi. “Bu yöntemler öncelikle veri toplama ve sızdırmaya odaklanıyor ve istihbarat toplama ve casusluğa sürekli vurgu yaptıklarını vurguluyor.”