Origine et évolution d’ElizaRAT

ElizaRAT, un outil d’accès à distance à Windows découvert en septembre 2023, permet à Transparent Tribe de lancer des attaques ciblées. La plupart du temps, les infections débutent par des fichiers exécutables diffusés via des liens Google Storage, probablement dans le cadre de campagnes de phishing. Les premières versions d’ElizaRAT utilisaient Telegram pour les communications C2. Depuis qu’il a été identifié, le malware a perfectionné ses méthodes d’exécution, renforcé sa capacité à échapper à la détection et amélioré ses communications C2, comme en attestent les trois campagnes distinctes menées entre fin 2023 et début 2024. Dans chacune de ses campagnes, ElizaRAT a déployé une version unique pour livrer des charges utiles sur mesure et pour automatiser la collecte d’informations de manière ciblée.

Chronologie de la campagne d’après les horodatages de collecte du malware

Parmi les caractéristiques qui définissent ElizaRAT, citons l’utilisation de services cloud tels que Google, Telegram et Slack pour assurer la distribution et la communication de commande et de contrôle, souvent exécutées par le biais de fichiers CPL. Ce malware a recours à des tactiques telles que la diffusion de documents leurres, la création de raccourcis vers le malware et l’utilisation de SQLite pour stocker localement les données de la victime avant qu’elles ne soient exfiltrées.

La communication de commande et de contrôle d’ElizaRAT passe par Slack
Une variante d’ElizaRAT appelée « Slack API » a été déployée lors de la première des trois campagnes et s’est servi des canaux Slack pour sa communication de commande et de contrôle. Apparu fin 2023, ce malware se présente sous la forme d’un fichier CPL, relativement simple à exécuter dans des attaques de phishing. Il collecte des informations sur l’utilisateur, enregistre ses activités, vérifie le fuseau horaire local et diffuse un faux fichier mp4. Il transmet ensuite les informations de la victime au serveur de commande et de contrôle et vérifie les nouvelles commandes toutes les minutes. L’ensemble de la communication C2 du malware transite par l’API de Slack pour établir un contact avec l’attaquant.

ApoloStealer : la nouvelle charge utile
Dans le cadre de cette même campagne, Transparent Tribe a déployé une nouvelle charge utile, que Check Point a surnommée ApoloStealer, contre des cibles spécifiques. Le malware a été créé un mois après la variante « Slack API » d’ElizaRAT. Il crée d’abord un fichier de base de données, puis un tableau pour stocker les données de chaque fichier. Il collecte ensuite les fichiers qui se trouvent sur le bureau de ses victimes. Une fois tous les fichiers pertinents stockés, ApoloStealer les envoie au serveur C2.

La campagne « Circle »
« Circle », la deuxième variante du malware ElizaRAT, a été lancée en janvier 2024. Dans cette version, le « dropper » est plus efficace et réduit considérablement les taux de détection. La campagne « Circle » fait appel à une charge utile similaire à celle de la variante « Slack API ». Cependant, contrairement aux autres versions d’ElizaRAT, Circle évite d’utiliser des services cloud pour ses communications C2 mais s’appuie sur un serveur privé virtuel (VPS) principal dédié pour ses échanges C2.
La fonction principale du dropper est de faciliter l’exécution d’ElizaRAT. Il extrait un fichier .zip qui contient le malware, crée un répertoire de travail puis y dépose un PDF leurre et un fichier MP4. Le malware, comme toutes les variantes d’ElizaRAT, crée un fichier LNK intitulé « Slack API », bien qu’aucun d’entre eux ne l’utilise réellement. Sachant que le fichier LNK y est décrit comme « Slack API », il y a fort à supposer qu’il existe un lien avec la campagne Slack.

La campagne « Google Drive »
À l’instar des deux campagnes précédentes, celle-ci dépose plusieurs fichiers, dont la variante principale d’ElizaRAT et un PDF piégé. Cette version se sert de Google Cloud pour sa communication C2 et envoie des commandes pour télécharger la charge utile de la phase suivante depuis différents serveurs privés virtuels (VPS). Check Point Research a identifié deux charges utiles pour cette campagne, toutes deux conçues comme des info stealers et chacune avec un but précis.

Un intérêt marqué pour les cibles spécifiques à l’Inde
Chaque variante d’ElizaRAT a procédé à la même vérification avant de lancer ses attaques : s’assurer que le fuseau horaire du système correspondait bien à celui de l’Inde. Il est donc probable que ces campagnes ciblent spécifiquement les systèmes indiens.

Les malwares évoluent, tout comme les méthodes de détection
L’évolution d’ElizaRAT montre à quel point APT36 intensifie ses efforts stratégiques pour perfectionner ses malwares, pour mieux échapper à la détection et pour cibler plus efficacement les organisations indiennes. Par ailleurs, en intégrant des services cloud comme Google Drive, Telegram et Slack à ses systèmes de commande et de contrôle, il s’appuie sur des plateformes largement utilisées pour dissimuler ses activités dans le trafic quotidien du réseau. Grâce aux nouvelles charges utiles comme ApolloStealer, les capacités des malwares d’APT36 se sont nettement étendues. C’est bien la preuve qu’APT36 évolue et abandonne une approche plus axée sur les charges utiles au profit d’une approche souple et modulaire. Ce type de technique se concentre principalement sur la collecte et l’exfiltration de données. La priorité semble résolument axée sur la collecte de renseignements et l’espionnage.
La progression d’ElizaRAT met en évidence une évolution des tactiques des acteurs de la menace. Les cyber attaquants sont plus précis et ciblent davantage leurs attaques, d’où un meilleur taux de réussite et une plus grande efficacité de leurs campagnes, tandis que les techniques d’évasion optimisées leur permettent de persévérer dans leurs activités.
La solution Threat Emulation de Check Point combat les menaces émergentes en analysant chaque fichier pour repérer tout comportement suspect avant qu’il n’atteigne le réseau de l’utilisateur final. Elle identifie également les menaces inconnues et les vulnérabilités de type « zéro-day » en exécutant les fichiers dans divers environnements virtuels sécurisés. Ensuite, ces fichiers sont soumis à une surveillance renforcée pour déceler toute activité suspecte, telle que des modifications non autorisées du système. La solution Threat Emulation examine chaque fichier, lorsqu’elle est intégrée à Check Point Harmony Endpoint, qui analyse tous les fichiers en temps réel. Les utilisateurs peuvent ainsi accéder presque instantanément à une version sécurisée du fichier, tandis que l’original fait l’objet d’une analyse plus approfondie. Cette approche dynamique assure à la fois la sécurité et un accès presque immédiat aux contenus et garantit que toute menace potentielle sera efficacement neutralisée pour préserver l’intégrité du réseau.

Synthèse :
• Lors de cyberattaques découvertes récemment, Transparent Tribe (APT36) a employé un malware particulièrement sophistiqué, connu sous le nom d’ElizaRAT.
• Check Point Research suit l’évolution d’ElizaRAT depuis sa découverte en septembre 2023 et met en évidence de nouvelles méthodes d’exécution plus efficaces, une meilleure capacité à échapper à la détection ainsi que des communications C2 depuis sa divulgation en septembre 2023.
• Avant de lancer leurs attaques, les campagnes d’ElizaRAT commencent par vérifier que le fuseau horaire du système correspondait bien à celui de l’Inde, signe que les attaques ciblent spécifiquement des systèmes indiens.