Mối đe dọa của APT36 và sự tiến hóa của ElizaRAT.
Nguyễn Văn Trung
APT36, còn gọi là Transparent Tribe, là một nhóm tấn công mạng có trụ sở tại Pakistan. Nhóm này nổi tiếng vì đã nhắm vào các tổ chức chính phủ, nhân sự ngoại giao và quân đội Ấn Độ thông qua nhiều chiến dịch gián điệp mạng, tấn công vào các hệ điều hành Windows, Linux và Android.
Thông tin chi tiết
Trong các chiến dịch gần đây, APT36 sử dụng ElizaRAT - một mã độc RAT nhắm vào Windows. Kể từ khi được phát hiện năm 2023, ElizaRAT đã phát triển để tăng cường kỹ thuật né tránh và duy trì độ ổn định trong việc truyền tin tức với máy chủ điều khiển.
Các phát hiện chính:
Nhóm Transparent Tribe sử dụng ElizaRAT trong các cuộc tấn công có mục tiêu vào Ấn Độ.
ElizaRAT đã được nâng cấp với kỹ thuật né tránh và thêm payload đánh cắp dữ liệu “ApoloStealer.”
ElizaRAT lợi dụng các dịch vụ đám mây như Telegram, Google Drive, và Slack để truyền tin.
ElizaRAT, từ khi được công bố lần đầu vào tháng 9/2023, thường được phát tán qua các tập tin CPL từ liên kết Google Storage, có thể qua các cuộc tấn công lừa đảo. C2 ban đầu thông qua các kênh Telegram và đã dần tiến hóa về phương pháp thực thi, kỹ thuật né tránh và liên lạc với C2.
ElizaRAT và các biến thể khác nhau của mã độc này bao gồm các payload như ApoloStealer. APT36, còn gọi là Transparent Tribe, sử dụng ElizaRAT để tiến hành các chiến dịch gián điệp nhằm vào các hệ thống Ấn Độ. ElizaRAT được phát tán thông qua các liên kết Google Storage dưới dạng tệp CPL và giao tiếp với máy chủ điều khiển qua các dịch vụ đám mây như Google Drive, Telegram và Slack.
Các chiến dịch được chia thành nhiều chiến dịch nhỏ dựa trên cách sử dụng C2 và phương pháp phát tán, bao gồm:
Slack Campaign - sử dụng Slack làm cơ sở hạ tầng C2.
ApoloStealer - payload bổ sung nhằm đánh cắp thông tin từ hệ thống của nạn nhân.
Circle Campaign - chiến dịch này sử dụng VPS thay vì dịch vụ đám mây.
Google Drive Campaign - lợi dụng Google Cloud để truyền tải lệnh.
APT36 không ngừng cải tiến ElizaRAT để vượt qua các cơ chế phát hiện và tiếp cận dễ dàng với thông tin tình báo từ các thực thể tại Ấn Độ.
IOCs
Files
| Type | Value | Description |
| MD5 | 730f708f2788fc83e15e93edd89f8c59 | ElizaRAT Dropper |
| BaseFilter.dll | ||
| (amended copy.cpl) | ||
| SHA1 | 549d80d0d2c3e2cf3ea530f37bfc0b9fe0cbd5f4 | |
| SHA256 | 06d9662572a47d31a51adf1e0085278e0233e4299e0d7477e5e4a3a328dea9d1 | |
| MD5 | 0cd16d0a2768b9ec0d980ccf875b2724 | ElizaRAT |
| BaseFilteringEngine.dll | ||
| SHA1 | 88fd8d71d879257b6cbf2bc12b6493771b26d8a0 | |
| SHA256 | a7fd97177186aff9f442beb9da6b1ab3aff47e611b94609404e755dd2f97dce8 | |
| MD5 | 0673341ccceeace3f0b268488f05db80 | ElizaRAT Dropper |
| BaseFilter.dll | ||
| (Tarang Shakti) | ||
| SHA1 | bc62b98437abd81a1471633afb9cff5dd898cdf8 | |
| SHA256 | 70bafcf666e8e821212f55ea302285bb860d2b7c18089592a4a093825adbaa71 | |
| MD5 | 2b1101f9078646482eb1ae497d44104c | ElizaRAT |
| SlackAPI.dll | ||
| SHA1 | 6ac91c9e6beeacd74c56dfde9025e54e221b016c | |
| SHA256 | 60b0b6755cf03ea8f6748a1e8b74a80a3d7637c986df64ee292f5ffefcd610a2 | |
| MD5 | 795d1be0915ec60c764b7a7aa6c54334 | ElizaRAT Dropper |
| circledrop.cpl | ||
| SHA1 | 86afc3e8046dfff3ec06bd50ae38f1da7797c3e2 | |
| SHA256 | 7e04e62f337c5059757956594b703fc1a995d436c48efa17c45eb0f80af8a890 | |
| MD5 | 8703b910ece27b578f231ce5eb1afd8f | ElizaRAT |
| Circle.cpl | ||
| SHA1 | f7424286b6b5f8dbad86856ef178745e34c8e83a | |
| SHA256 | 2b6a273eae0fb1835393aea6c30521d9bf5e27421c2933bfb3beee8c5b27847e | |
| MD5 | 009cb6da5c4426403b82c79adf67021c | ApoloStealer |
| SlackFiles.dll | ||
| SHA1 | f98019e637a2ae58d54ff903770b35eefb106432 | |
| SHA256 | d66ba4ee97a2f42d85ca383f3f61a2fac4f0b374aad1337f5f29245242f2d990 | |
| MD5 | 3a2c701408d94bbcdcf954793f6749bc | ApoloStealer |
| SpotifyAB.dll | ||
| SHA1 | 0db24c0a4dd12e5fa412434222d81de8e2de4b3c | |
| SHA256 | dca78e069bfd9ca4638b4f9cb21dff721530d16924e502c03d8c9aa334b7ca0d | |
| MD5 | 1bac7ea5a9558d937eaf0682523e6a06 | ApoloStealer |
| Spotify-News.dll | ||
| SHA1 | b7814d9f6f2096f5a9573ade52547a447eff33bb | |
| SHA256 | 348c0980c61d7c682cce7521aaad13a20732f7115cb5559729b86ca255f1af7f | |
| MD5 | d3fe72a3b9cb5055662e6a0e19b8f010 | ApoloStealer |
| Spotify-Desk.dll | ||
| SHA1 | c4c9aaeb74782cd9b5b8701d46e55cf299277215 | |
| SHA256 | 6f839ded49ebf1dad014d79fbab396e2067c487685556a8402f3acdeb1600d98 | |
| MD5 | b54512bf0ed75a9f2dee26a4166461a2 | USB Stealer |
| EmergencyBackup.dll | ||
| SHA1 | b09d059e8d6b87f3a6165e4d71901187d0aa99d5 | |
| SHA256 | 0a52c0ac04251ac1a8bc193af47f33136ae502b0c237de5236d1136acc3b1140 | |
| MD5 | ab127d76a40f1cb0cfd81ba1e786d983 | USB Stealer |
| ConnectX.dll | ||
| SHA1 | 115e612a4e653cd915d5fc07246a00369fe38cde | |
| SHA256 | b41e1d6340388b08694ae649a54fa09372f92f4038fd84259a06716fa706b967 | |
| MD5 | b9d9e75a2e6b81277f2052a1f0b14e45 | ElizaRAT Dropper |
| Award Verification to Air Cmde GS Matharu.cpl | ||
| SHA1 | 1fc28b9e902dd2a8b771b1dc7ec3a62ad04fb02b | |
| SHA256 | 6296fb22d94d1956fda2a6a48b36e37ddd15cf196c434ab409c787bf8aa47ac3 | |
| MD5 | 58643299e340ae7b01efc67ef09ed369 | ElizaRAT |
| WordDocument.cpl | ||
| SHA1 | e5377172ee4bae1508405370ee41bee646837c04 | |
| SHA256 | 263f9e965f4f0d042537034e33699cf6d852fb8a52ac320a0e964ce96c48f5e5 | |
| MD5 | 16ea7ce77c875a17049e9607323d1be4 | Persistence tool |
| Aboutus.dll | ||
| SHA1 | 0c9400e6b8c9244fd187a9f021d0da0b70b6f6fd | |
| SHA256 | 8d552547fe045f6006f113527eb5dd4a8d5918c989bf11090c7cb44806d595be | |
| MD5 | 47990d1df44767ee3a6c4a6673ee76e9 | USB Stealer |
| DonateUS.dll | ||
| SHA1 | 43ac372b9cd05eefae3f50a0e487562759f3b0d9 | |
| SHA256 | 308c84c68c18af8458ae61afe1f2eec78f229e188724e271bd192a144fd582fc | |
| MD5 | 7ecaa3c5a647d671a9aa4369d4a43b83 | ElizaRAT Dropper |
| Profile Verificition for Award.cpl WordDocument.dll | ||
| SHA1 | ee3162e649183490038da015e51750f23ae18d0f | |
| SHA256 | b9e10e83a270e1995acaceb88ce684fb97df6156a744565b20b6ec3bc08c2728 | |
| MD5 | af2ec3dcfdbb7771b0a7a3d2035e7e99 | ElizaRAT |
| WordDocument.cpl | ||
| SHA1 | 2e8139275a48cd048c21e1942b673ae0781dd0b8 | |
| SHA256 | b30a9e31b0897bfe6ab80aebcd0982eecf68e9d3d3353c1e146f72195cef0ef5 |
Network
| Type | Value | Description |
| IP | 84.247.135[.]235 | C2 server – Google Drive campaign |
| IP | 143.110.179[.]176 | C2 server – Google Drive campaign |
| IP | 64.227.134[.]248 | C2 server – Google Drive campaign |
| IP | 38.54.84[.]83 | C2 server – Circle campaign |
| IP | 83.171.248[.]67 | C2 server – Slack campaign |
Khuyến nghị
Tăng cường nhận thức về các kỹ thuật lừa đảo qua email (phishing), đặc biệt là đối với các file .CPL và các email từ các nguồn không xác định.
Yêu cầu xác thực đa yếu tố (MFA) cho tất cả tài khoản đám mây để giảm thiểu nguy cơ truy cập trái phép vào tài khoản.
Sử dụng EDR (Endpoint Detection and Response) để phát hiện các tệp hoặc hành vi bất thường như tạo tệp shortcut, các quá trình lạ, và truy cập vùng hệ thống.
Theo dõi các chỉ số như “India Standard Time” có trong các phiên đăng nhập hoặc hoạt động hệ thống để xác định các hệ thống có thể bị nhắm tới.
Giới hạn quyền truy cập vào dữ liệu nhạy cảm, chỉ cho phép các tài khoản cần thiết. Đặt mật khẩu mạnh và mã hóa các tệp nhạy cảm, đặc biệt là các dữ liệu quan trọng hoặc riêng tư.
Đảm bảo sao lưu dữ liệu an toàn, tránh để dữ liệu bị mất hoặc bị mã hóa trong trường hợp bị tấn công.
Tham khảo
Cloudy With a Chance of RATs: Unveiling APT36 and the Evolution of ElizaRAT<https://research.checkpoint.com/2024/the-evolution-of-transparent-tribes-new-malware/\>
Subscribe to my newsletter
Read articles from Nguyễn Văn Trung directly inside your inbox. Subscribe to the newsletter, and don't miss out.
Written by