ElizaRAT, C2 İletişimi İçin Google, Telegram ve Slack Hizmetlerinden Yararlanıyor

   Kasım 29, 2024  Posted in CyberSecurityNews


ElizaRAT, C2 İletişimi İçin Google, Telegram ve Slack Hizmetlerinden Yararlanıyor

ElizaRAT adı verilen gelişmiş bir Windows Uzaktan Erişim Truva Atı (RAT), 2023’teki keşfinden bu yana gelişen APT36 (Transparan Kabile olarak da bilinir) tarafından geliştirildi.

Bu Pakistanlı tehdit aktörü grubu, Hindistan devlet kurumlarını, diplomatik personeli ve askeri tesisleri hedef almasıyla biliniyor.

Artık saldırı yüzeyini “Windows”, “Linux” ve “Android” sistemleri gibi büyük platformları da kapsayacak şekilde genişletmiş olmasıyla da kalmıyor.

Bu tehdit grubu ElizaRAT’ın diğer birkaç ismi ise:-

APT36’nın Farklı İsimleri (Kaynak – Reco)

Bunun yanı sıra, Reco’daki güvenlik analistleri ElizaRAT’ın çeşitli gelişmiş yetenekler sergilediğini keşfetti: –

  • Gömülü .NET ve derleme modülleri ile .NET’te yazılmıştır
  • Kaçınma için .CPL dosyaları aracılığıyla yürütme
  • Dağıtım ve C2 iletişimi için bulut hizmetlerinin (Google, Telegram, Slack) kullanılması
  • Sahte belgelerin veya videoların dağıtılması
  • Kalıcılık için IWSHshell kullanımı
  • Geçici dosya depolama için SQLite
  • Benzersiz kurban kimliği oluşturma ve depolama

Analyze cyber threats with ANYRUN's powerful sandbox. Black Friday Deals : Get up to 3 Free Licenses.

Kampanya Analizi

Gevşek Kampanya

Slack kampanyası, temel işlevleri için SlackAPI.dll adlı bir dosyayı kullanır:

  • C2 iletişimi için Slack’in API’sini kullanır
  • Kötü amaçlı yazılım dağıtımı için CPL dosyalarını kullanır
  • Her 60 saniyede bir yeni talimatları kontrol eder
  • Belirli Slack kanalları aracılığıyla mesaj gönderir ve alır

Çevre Kampanyası

Ocak 2024’te başlatılan Circle kampanyası yeni kaçınma tekniklerini tanıtıyor:

  • Gelişmiş gizlilik için bir damlalık bileşeni kullanır
  • Bulut hizmetleri yerine VPS kullanır
  • Hindistan Standart Saat dilimini kontrol eder
  • Mağdur bilgilerini belirli dosyalara kaydeder
  • Veri sızdırma için özel bir sunucuyla iletişim kurar
Çember Zinciri Enfeksiyonu (Kaynak – Reco)

Google Drive Kampanyası

Bu kampanya, C2 iletişimi için Google Cloud’dan yararlanıyor:

  • Birden fazla VPS’den yükleri indirir
  • İki ana veriyi kullanır: extensionhelper_64.dll ve ConnectX.dll
  • Meşru yazılımı taklit etmek için yükleri yeniden adlandırır (örn. SpotifyAB.dll)

Altyapı Analizi

ElizaRAT’ın altyapısının bir parçası olarak çeşitli IP adresleri belirlendi:

  • 84.247.135.235: Birden fazla satıcı tarafından kötü amaçlı olarak işaretlendi
  • 143.110.179.176: Kötü amaçlı veya şüpheli olarak işaretlendi
  • 64.227.134.248: Kötü amaçlı DLL’lerle ilişkili
  • 38.54.84.83: Circle.dll ile bağlantılı ve kaba kuvvet girişimleri için rapor edildi
  • 83.171.248.67: Kötü amaçlı olarak işaretlendi ve güvenlik açığı bulunan hizmetleri barındırıyor

ElizaRAT, APT36’nın siber casusluk yeteneklerinde önemli bir gelişmeyi temsil ediyor.

Popüler bulut platformlarından yararlanan ve gelişmiş saldırı teknikleri kullanan kötü amaçlı yazılım, hedefleri için ciddi bir tehdit oluşturuyor.

Modüler yaklaşım ve ApolloStealer gibi yeni yüklerin tanıtılması, APT36’nın veri hırsızlığı ve casusluk operasyonlarında maksimum etkinlik için araçlarını geliştirme konusundaki kararlılığını göstermektedir.

KOBİ ve MSP Siber Güvenlik Liderleri için 2024 MITRE ATT&CK Sonuçlarından Yararlanma – Ücretsiz Web Seminerine Katılın



Source link