One Article Review
| Source |  RiskIQ |
|---|---|
| Identifiant | 8606105 |
| Date de publication | 2024-11-04 19:39:03 (vue: 2024-11-04 20:07:19) |
| Titre | Cloudy With a Chance of RATs: Unveiling APT36 and the Evolution of ElizaRAT |
| Texte | #### Géolocations ciblées - Inde ## Instantané APT-36, un acteur de menace basé au Pakistan, a activement ciblé les systèmes indiens avec un logiciel malveillant sophistiqué connu sous le nom d'Elizarat. ## Description Ce malware, identifié pour la première fois en 2023, a considérablement évolué, utilisant des tactiques d'évasion avancées et une infrastructure de commande et de contrôle basée sur le cloud (C2), notamment Google Drive, Telegram et Slack.APT-36 a récemment introduit une nouvelle charge utile, Apolostealer, qui est conçue pour collecter et exfiltrer des fichiers sensibles à partir de systèmes infectés. Elizarat utilise des fichiers de panneaux de commande (CPL) distribués par phishing pour initier les infections, avec une communication C2 ultérieure souvent gérée via des services cloud ou d'autres.Le malware enregistre les victimes en stockant leurs informations d'identification et de système, en enregistrant périodiquement le C2 pour les nouvelles commandes.Ces commandes peuvent inclure des tâches comme le téléchargement de fichiers, la prise de captures d'écran et la collecte d'informations système. Apolostealer, un ajout à la campagne, cible d'autres fichiers avec des extensions spécifiques telles que .pdf, .doc et .jpg, stockant les métadonnées dans une base de données SQLite pour l'exfiltration.Notamment, il surveille également les lecteurs externes, collectant des fichiers pertinents pour la récupération ultérieure.L'infrastructure cloud d'Elizarat \\ et l'utilisation de services Web courants rendent la détection difficile, car elle se mélange à une activité de réseau légitime. En 2024, l'APT-36 a mené de multiples campagnes contre des objectifs de haut niveau en Inde, chacun montrant des améliorations techniques d'Elizarat.Ces campagnes ont utilisé des variantes distinctes d'Elizarat et d'apolostealer avec des techniques sophistiquées, soulignant l'intention ciblée de l'APT-36 \\ sur le cyber-espionnage contre les organisations indiennes. ## Analyse Microsoft et contexte OSINT supplémentaire L'APT36, également connu sous le nom de Tribe Transparent, est un groupe de menaces basé au Pakistan qui se concentre principalement sur le cyberespionnage contre le gouvernement indien, la défense et les secteurs de l'éducation.Notamment, le groupe a été observé ciblant le gouvernement indien et les militaires en utilisant [des APK malveillants imitant YouTube] (https://www.sentinelone.com/labs/capratube-remix-transparent-tribes-android-spyware-targeting-gamers-weapons-Enthousiastes /) et [INDIAN ENDUCTION INSTRUCTIONS] (http://blog.talosintelligence.com/2022/07/transparent-tribe-targets-education.html) en utilisant des logiciels malveillants personnalisés. Le groupe utilise un large éventail d'outils, notamment des chevaux de Troie (rats) à un accès à distance sur mesure pour les fenêtres, des cadres de commande et de contrôle open source modifiés, des installateurs maltraités qui imitent les applications gouvernementales indiennes, les applications Android malveillantes et les sites de phishing ciblant les Indiens indiensofficiels.Les logiciels malveillants notables liés à l'APT36 comprennent Elizarat, Caprarat, Poséidon, Crimsonrat, Obliquerat, Darkcomet et Peppy. ## Recommandations Microsoft recommande les atténuations suivantes pour réduire l'impact de cette menace. - Allumez [Protection en livraison du cloud] (https://learn.microsoft.com/en-us/defender-endpoint/linux-preférences) dans Microsoft Defender Antivirus ou l'équivalent de votre produit antivirus pour couvrir rapidement les outils d'attaquant en évolution et et et les outils d'attaquant en évolution rapide ettechniques.Les protections d'apprentissage automatique basées sur le cloud bloquent la majorité des menaces nouvelles et inconnues. - Exécuter [EDR en mode bloc] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/edr-in-block-mode?view=o365-worldwide?ocid |
| Notes | ★★ |
| Envoyé | Oui |
| Condensat | #### **© 2023 2024 2024** 21562b1004d5/analystreport 365/security/defender 4b5e 5155 access accessed action actively activity actor addition additional advanced af74 against age alert alerts all allow also analysis android antivirus any apks apolostealer applications apps apt apt36 are array artifacts attack attacker authority automated based been behind blends block breach breaches built campaign campaigns can caprarat challenging chance changes check checking checkpoint client cloud cloudy collect collecting com/2022/07/transparent com/2024/the com/en com/labs/capratube com/microsoft com/threatanalytics3/9382203e command commands common communication conducted configure considerably content context control controlled copyright cover cpl credential crimsonrat criterion custom customers cyber cyberespionage darkcomet database defend defender defense delivered description designed detect detected detection distinct distributed distribution doc does downloading drive drives each edr education elizarat email employing employs enable enabled endpoint endpoint/attack endpoint/automated endpoint/edr endpoint/enable endpoint/linux endpoint/prevent ensure enthusiasts/ equivalent espionage evasion even evolution evolved evolving executable exfiltrate exfiltration extensions external files first focused focuses folder folders follow following frameworks from full further gamers gathering geolocations google government group hardening has have high html http://blog https://learn https://research https://security https://www identified immediate impact impersonating improvements include includes including india indian infected infections information infrastructure initiate installers institutions intent introduced investigation investigations jpg known later learndoc learning legitimate like linked list local lsa lsass machine majority make malicious malicous malware malware/ manage managed meet metadata microsoft military mimic mitigations mode modified monitors multiple network new non not notable notably obliquerat observed ocid=magicti officials often open organizations osint other overview pakistan panel part passive payload pdf peppy periodically permission phishing point poseidon post preferences premises prevalence prevent primarily product profile prohibited protection protection#how protections ransomware rapidly rats rats: recently recommendations recommends reduce reducing reduction reference#block references registers relevant remediate remediation remix remote reproduction reserved resolve retrieval rights rule rules run running scenes screenshots sectors security sensitive sentinelone services settings showing significantly site sites slack snapshot sophisticated source specific spyware sqlite stealing storing subsequent subsystem such surface system systems tactics take taking talosintelligence tamper targeted targeting targets tasks technical techniques telegram theft thereof these threat threats through tools transparent tribe tribes trojanized trojans trusted turn underscoring unknown unless unveiling us/defender use used uses using utilized variants victims view=o365 volume weapons web webmail when which wide windows without works worldwide written xdr your youtube |
| Tags | Ransomware Malware Tool Threat Mobile Cloud Technical |
| Stories | APT 36 |
| Move | 
|
L'article ne semble pas avoir été repris aprés sa publication.
L'article ne semble pas avoir été repris sur un précédent.