Pakistanlı bir siber casusluk grubu olan APT36, yakın zamanda cephaneliğini, ilk olarak 2023’te tespit edilen, Hindistan devlet kurumlarını, diplomatik personeli ve askeri tesisleri hedef almak için gelişmiş kaçırma taktikleri ve güçlü C2 yetenekleri kullanan gelişmiş bir Windows RAT olan ElizaRAT ile yükseltti.
Grup, en son ElizaRAT yinelemelerinin yeni dağıtım yöntemleri, yükler ve altyapı sunması nedeniyle saldırı yüzeyini genişletmek için Windows, Linux ve Android dahil olmak üzere birçok platformdan yararlanıyor ve bu da onu Hindistan’ın kritik altyapısı için kalıcı ve gelişen bir tehdit haline getiriyor.
Kötü amaçlı bir yazılım olan ElizaRAT, Slack kanalları aracılığıyla gizli iletişimi kolaylaştırmak için MD5 karması 2b1101f9078646482eb1ae497d44104 ile tanımlanan SlackAPI.dll’den yararlanır.
Genellikle Windows ayarlarıyla ilişkilendirilen CPL dosyalarından bir dağıtım mekanizması olarak yararlanılır.
Kötü amaçlı yazılım yürütüldükten sonra Userinfo.dll dosyasından hassas bilgileri çıkarır ve bunu, yeni talimatları düzenli olarak kontrol eden ve tehlikeye atılan sistem üzerinde uzaktan kontrol sağlayan uzak bir sunucuya iletir.
ReceiveMsgsInList() işlevini kullanarak belirli bir kanalı (C06BM9XTVAS) sürekli olarak yoklayarak ve konuşmalar.history uç noktası aracılığıyla mesajları alarak komut ve kontrol için Slack’in API’sinden yararlanır.
ElizaRAT, bir bot belirteci ve kurban kimliği kullanarak kimlik doğrulama ve tanımlama sağlar ve komutlar vermek için SendMsg() işlevini kullanır ve mesajları chat.postMessage uç noktası aracılığıyla C06BWCMSF1S kanalına gönderir.
Kötü amaçlı yazılım, SendFile() işlevini ve files.upload uç noktasını kullanarak çalınan dosyaları da yükleyebilir.
Dosya indirmeleri için DownloadFile(), saldırgan tarafından sağlanan URL’lerden dosyaları alır ve bunları tehlikeye atılmış sisteme kaydeder; muhtemelen indirme sunucusuyla güvenli iletişim için HttpClient’ı kullanır.
SlackAPI.dll dosyasının, bilinen kötü amaçlı IP adresleriyle iletişim kuran ve MITRE ATT&CK çerçevesiyle ilişkili davranışlar sergileyen birden fazla güvenlik satıcısı tarafından kötü amaçlı olduğu belirlendi.
Potansiyel olarak ElizaRAT ve ApoloStealer kampanyalarıyla bağlantılıdır ve kötü amaçlı etkinlikleri yürütmek ve virüslü sistemlerde varlığını sürdürmek için rundll32.exe işleminden yararlanır.
ElizaRAT kötü amaçlı yazılımının Ocak 2024’te ortaya çıkan yeni bir türü olan Circle ElizaRAT, gelişmiş kaçırma için bir damlalık bileşeni kullanıyor ve Hint sistemlerini hedef alarak saat dilimini kontrol ediyor ve kurban verilerini %appdata%\CircleCpl klasöründe saklıyor.
Bu varyant, C2 iletişimi için bir VPS’den yararlanarak tespit edilmesini zorlaştırıyor ve kurbanın IP adresini alıyor ve muhtemelen SlackFiles.dll yükünü indiriyor; bu da Circle ve Slack kampanyaları arasında bir bağlantı olduğunu gösteriyor.
circulateddrop.dll, komutları almak ve VPS sunucularından sonraki verileri indirmek için Google Cloud C2’den yararlanan ElizaRAT kötü amaçlı yazılımıyla ilişkili kötü amaçlı bir veridir.
Zamanlanmış görevler ve rundll32.exe, SpotifyAB.dll veya Spotify-news.dll gibi meşru dosyalar olarak gizlenen bu yüklerin yürütülmesini gerçekleştirmek için kullanılır.
Reco’ya göre kampanya, bazıları çok sayıda güvenlik sağlayıcısı tarafından kötü amaçlı olarak işaretlenen ve özellikle belirli tarihlerde agresif etkinlik sergileyen ve hedefli saldırılara işaret eden bilinen güvenlik açıklarıyla bağlantılı olan birden fazla IP adresi kullanıyor.