Programari maliciós CR4T
Les institucions governamentals de tot l'Orient Mitjà s'han convertit en objectiu d'una operació d'atac furtiva destinada a infiltrar-se en els seus sistemes amb una porta posterior desconeguda anteriorment coneguda com CR4T. Els experts en ciberseguretat es van adonar per primera vegada d'aquesta activitat el febrer de 2024, però les proves suggereixen que podria haver començat tan aviat com un any abans. L'operació es fa un seguiment com a DuneQuixote. Els autors han fet tot el possible per evitar la detecció i l'examen dels seus implants maliciosos, emprant tècniques d'evasió sofisticades tant en les seves comunicacions de xarxa com en el disseny del propi programari maliciós.
L'etapa inicial de la cadena d'atac DuneQuixote
L'atac comença amb un comptagotes, disponible en dues variants: un comptagotes estàndard, ja sigui en forma executable o DLL, i un fitxer d'instal·lació manipulat per a l'eina legítima, Total Commander. Independentment de la variant, l'objectiu principal del comptegotes segueix sent coherent: extreure una adreça de comandament i control (C2) xifrada, utilitzant una tècnica de desxifrat innovadora per protegir l'adreça del servidor d'eines d'anàlisi automatitzades de programari maliciós.
Aquest mètode consisteix a adquirir el nom del fitxer del comptegotes i concatenar-lo amb un dels diversos fragments predefinits de poemes espanyols incrustats dins del codi del comptegotes. Posteriorment, el programari maliciós calcula el hash MD5 de la cadena combinada, que serveix com a clau de desxifrat per a l'adreça del servidor C2.
Un cop desxifrat, el dropper estableix connexions amb el servidor C2, procedint a descarregar una càrrega útil posterior mentre proporciona un identificador codificat en dur com a cadena d'usuari-agent a la sol·licitud HTTP.
L'accés a la càrrega útil està restringit tret que es proporcioni l'agent d'usuari correcte. A més, sembla que la càrrega útil només es pot recuperar una vegada per objectiu o durant un temps limitat després del desplegament d'una mostra de programari maliciós a la natura.
En canvi, l'instal·lador troià de Total Commander presenta diverses variacions alhora que manté la funcionalitat bàsica del comptagotes original. Elimina les cordes dels poemes espanyols i introdueix mesures antianàlisi addicionals. Aquestes comprovacions impedeixen una connexió al servidor C2 si el sistema detecta un depurador o una eina de supervisió, si el cursor roman estacionari més enllà d'un temps determinat, si la memòria RAM disponible és inferior a 8 GB o si la capacitat del disc cau per sota dels 40 GB.
El programari maliciós CR4T permet als atacants executar ordres als sistemes infectats
CR4T ("CR4T.pdb") és un implant només de memòria escrit en C/C++. Proporciona als atacants accés a una consola de línia d'ordres per executar ordres al sistema compromès, realitzar operacions de fitxers i transferir fitxers cap i des del servidor C2. A més, els investigadors han descobert una versió Golang de CR4T amb funcionalitats similars, inclosa l'execució d'ordres arbitràries i la creació de tasques programades mitjançant la biblioteca Go-ole.
A més, la porta posterior Golang CR4T implementa la persistència mitjançant el segrest d'objectes COM i utilitza l'API de Telegram per a comunicacions C2. L'aparició de la variant Golang indica que els actors d'amenaça no identificats darrere de la campanya DuneQuixote estan perfeccionant activament les seves tàctiques amb programari maliciós multiplataforma.
La iniciativa 'DuneQuixote' se centra en entitats de l'Orient Mitjà, utilitzant una àmplia gamma d'eines dirigides a la sigil·lació i la persistència. Els atacants mostren capacitats i tècniques d'evasió avançades mitjançant el desplegament d'implants i comptagotes només de memòria disfressats de programari legítim, com ara imitar l'instal·lador de Total Commander.
