CR4T Зловреден софтуер

Правителствените институции в Близкия изток станаха мишени на операция за скрита атака, насочена към проникване в техните системи с неизвестна досега задна врата, известна като CR4T. Експертите по киберсигурност за първи път забелязаха тази дейност през февруари 2024 г., но доказателствата сочат, че тя може да е започнала още година по-рано. Операцията се проследява като DuneQuixote. Извършителите са положили големи усилия, за да предотвратят откриването и изследването на техните злонамерени импланти, използвайки сложни техники за избягване както в мрежовите комуникации, така и в дизайна на самия зловреден софтуер.

Началният етап от веригата от атаки на DuneQuixote

Атаката започва с капкомер, наличен в два варианта: стандартен капкомер, или в изпълнима, или в DLL форма, и манипулиран инсталационен файл за легитимния инструмент, Total Commander. Независимо от варианта, основната цел на дропера остава последователна: да извлече криптиран команден и контролен (C2) адрес, използвайки иновативна техника за дешифриране, за да защити адреса на сървъра от автоматизирани инструменти за анализ на зловреден софтуер.

Този метод включва получаване на името на файла на капкомера и свързването му с един от няколко предварително дефинирани откъса от испански стихотворения, вградени в кода на капкомера. Впоследствие злонамереният софтуер изчислява MD5 хеша на комбинирания низ, който служи като ключ за декриптиране на адреса на сървъра C2.

Веднъж декриптиран, капкомерът установява връзки със сървъра C2, като продължава да изтегля последващ полезен товар, като същевременно предоставя твърдо кодиран ID като низ на User-Agent в HTTP заявката.

Достъпът до полезния товар е ограничен, освен ако не е предоставен правилният потребителски агент. Освен това изглежда, че полезният товар може да бъде възстановен само веднъж за цел или за ограничен период от време след внедряването на образец на зловреден софтуер в природата.

За разлика от това, троянизираният инсталатор на Total Commander показва няколко варианта, като същевременно запазва основната функционалност на оригиналния капкомер. Той елиминира испанските стихотворения и въвежда допълнителни мерки против анализ. Тези проверки предотвратяват връзка със сървъра C2, ако системата открие програма за отстраняване на грешки или инструмент за наблюдение, ако курсорът остане неподвижен след определено време, ако наличната RAM е по-малка от 8 GB или ако капацитетът на диска падне под 40 GB.

Зловреден софтуер CR4T позволява на нападателите да изпълняват команди на заразените системи

CR4T ('CR4T.pdb') е имплант само с памет, написан на C/C++. Той предоставя на атакуващите достъп до конзола за команден ред за изпълнение на команди на компрометираната система, извършване на файлови операции и прехвърляне на файлове към и от C2 сървъра. Освен това изследователите са открили Golang версия на CR4T с подобни функционалности, включително изпълнение на произволни команди и създаване на планирани задачи с помощта на библиотеката Go-ole.

Освен това, задната вратичка Golang CR4T прилага устойчивост чрез отвличане на COM обекти и използва API на Telegram за C2 комуникации. Появата на варианта Golang показва, че неидентифицираните участници в заплахата зад кампанията DuneQuixote активно усъвършенстват тактиката си с крос-платформен зловреден софтуер.

Инициативата „DuneQuixote“ се фокусира върху субекти в Близкия изток, като използва разнообразна гама от инструменти, насочени към стелт и постоянство. Нападателите демонстрират усъвършенствани възможности и техники за избягване чрез внедряване на импланти и капки само за памет, маскирани като легитимен софтуер, като например имитиране на инсталатора на Total Commander.