البرمجيات الخبيثة CR4T

أصبحت المؤسسات الحكومية في جميع أنحاء الشرق الأوسط أهدافًا لعملية هجومية خفية تهدف إلى اختراق أنظمتها من خلال باب خلفي غير معروف سابقًا يُعرف باسم CR4T. لاحظ خبراء الأمن السيبراني هذا النشاط لأول مرة في فبراير 2024، لكن الأدلة تشير إلى أنه كان من الممكن أن يكون قد بدأ في وقت مبكر قبل عام. يتم تتبع العملية باسم DuneQuixote. لقد بذل الجناة جهودًا كبيرة لمنع اكتشاف وفحص غرساتهم الخبيثة، مستخدمين تقنيات تهرب متطورة في اتصالاتهم الشبكية وفي تصميم البرامج الضارة نفسها.

المرحلة الأولية لسلسلة هجوم DuneQuixote

يبدأ الهجوم باستخدام قطارة، وهي متاحة في شكلين مختلفين: قطارة قياسية، إما في شكل قابل للتنفيذ أو في شكل DLL، وملف تثبيت تم التلاعب به للأداة الشرعية، Total Commander. بغض النظر عن المتغير، يظل الهدف الأساسي للقطارة ثابتًا: استخراج عنوان القيادة والتحكم (C2) المشفر، باستخدام تقنية فك التشفير المبتكرة لحماية عنوان الخادم من أدوات تحليل البرامج الضارة الآلية.

تتضمن هذه الطريقة الحصول على اسم ملف القطارة وربطه مع أحد المقتطفات العديدة المحددة مسبقًا من القصائد الإسبانية المضمنة في كود القطارة. وبعد ذلك، تقوم البرامج الضارة بحساب تجزئة MD5 للسلسلة المدمجة، والتي تعمل كمفتاح فك التشفير لعنوان خادم C2.

بمجرد فك التشفير، تقوم القطارة بإنشاء اتصالات مع خادم C2، وتستمر في تنزيل حمولة لاحقة أثناء تقديم معرف مشفر كسلسلة وكيل المستخدم في طلب HTTP.

الوصول إلى الحمولة مقيد ما لم يتم توفير وكيل المستخدم الصحيح. علاوة على ذلك، يبدو أن الحمولة قد لا تكون قابلة للاسترداد إلا مرة واحدة لكل هدف أو لفترة محدودة بعد نشر عينة من البرامج الضارة في البرية.

في المقابل، يعرض برنامج تثبيت Total Commander المصاب بفيروس طروادة العديد من الاختلافات مع الحفاظ على الوظيفة الأساسية للقطارة الأصلية. إنه يزيل سلاسل القصيدة الإسبانية ويقدم تدابير إضافية مضادة للتحليل. تمنع عمليات التحقق هذه الاتصال بخادم C2 إذا اكتشف النظام مصحح أخطاء أو أداة مراقبة، أو إذا ظل المؤشر ثابتًا بعد مدة محددة، أو إذا كانت ذاكرة الوصول العشوائي المتوفرة أقل من 8 جيجابايت، أو إذا انخفضت سعة القرص إلى أقل من 40 جيجابايت.

تسمح البرمجيات الخبيثة CR4T للمهاجمين بتنفيذ الأوامر على الأنظمة المصابة

CR4T ('CR4T.pdb') عبارة عن غرسة للذاكرة فقط مكتوبة بلغة C/C++. فهو يوفر للمهاجمين إمكانية الوصول إلى وحدة تحكم سطر الأوامر لتنفيذ الأوامر على النظام المخترق، وتنفيذ عمليات الملفات، ونقل الملفات من وإلى خادم C2. بالإضافة إلى ذلك، اكتشف الباحثون نسخة Golang من CR4T بوظائف مماثلة، بما في ذلك تنفيذ أوامر عشوائية وإنشاء مهام مجدولة باستخدام مكتبة Go-ole.

علاوة على ذلك، ينفذ الباب الخلفي Golang CR4T الثبات من خلال اختطاف كائن COM ويستخدم واجهة برمجة تطبيقات Telegram لاتصالات C2. يشير ظهور متغير Golang إلى أن جهات التهديد المجهولة التي تقف وراء حملة DuneQuixote تعمل بنشاط على تحسين تكتيكاتها باستخدام البرامج الضارة عبر الأنظمة الأساسية.

تركز مبادرة "DuneQuixote" على الكيانات في الشرق الأوسط، حيث تستخدم مجموعة متنوعة من الأدوات التي تهدف إلى التخفي والمثابرة. يعرض المهاجمون قدرات وتقنيات مراوغة متقدمة من خلال نشر غرسات وبرامج للذاكرة فقط متخفية في هيئة برامج شرعية، مثل محاكاة برنامج تثبيت Total Commander.