【安全资讯】APT36利用ElizaRAT和ApoloStealer推进针对印度的间谍活动

概要：

网络安全研究机构Check Point近日发布报告，揭示了APT36（又称透明部落）在针对印度的间谍活动中，如何不断进化其恶意软件ElizaRAT及新推出的ApoloStealer。这一巴基斯坦黑客组织长期以来专注于攻击印度政府机构、外交人员及军事设施，最新的技术进步使其在隐蔽性和控制能力上有了显著提升。

主要内容：

APT36的ElizaRAT是一种远程访问工具，近期经过升级以增强其命令与控制（C2）能力和检测规避技术。研究表明，该恶意软件主要通过钓鱼攻击传播，攻击者利用恶意链接发送至Google Storage，通常通过定向钓鱼邮件进行传播。APT36的最新变种在整合主流云平台（如Telegram、Google Drive和Slack）方面表现突出，这些服务的广泛使用使得恶意软件能够更好地融入正常网络流量，从而降低被检测的风险。

此外，APT36还推出了新的数据窃取工具ApoloStealer，首次出现在2024年。该工具与之前的透明部落恶意软件有相似之处，专门针对特定文件类型进行数据收集和外泄，确保在感染系统中以隐蔽的方式存储和提取数据。Check Point的报告指出，APT36的多个ElizaRAT活动展示了不同的基础设施和交付方法，包括利用Slack和Google Drive进行C2通信的变种。

最后，APT36的Circle Campaign则采用虚拟专用服务器（VPS）进行C2，显示出该组织在基础设施多样化方面的努力。Check Point总结道，ElizaRAT的进化反映了APT36在提升其恶意软件以更好地规避检测和有效针对印度实体方面的刻意努力。