Malware CR4T

Vládní instituce na celém Středním východě se staly terčem tajné útočné operace zaměřené na infiltraci jejich systémů pomocí dříve neznámých zadních vrátek známých jako CR4T. Odborníci na kybernetickou bezpečnost poprvé zaznamenali tuto aktivitu v únoru 2024, ale důkazy naznačují, že mohla začít již před rokem. Operace je sledována jako DuneQuixote. Pachatelé vynaložili velké úsilí, aby zabránili odhalení a prozkoumání svých škodlivých implantátů, a použili sofistikované únikové techniky jak ve své síťové komunikaci, tak při návrhu samotného malwaru.

Počáteční fáze útočného řetězce DuneQuixote

Útok začíná kapátkem, který je k dispozici ve dvou variantách: standardním kapátkem, buď ve formě spustitelného souboru nebo DLL, a manipulovaným instalačním souborem pro legitimní nástroj Total Commander. Bez ohledu na variantu zůstává primární cíl kapátka konzistentní: extrahovat zašifrovanou adresu Command-and-Control (C2) s využitím inovativní techniky dešifrování k ochraně adresy serveru před automatizovanými nástroji pro analýzu malwaru.

Tato metoda zahrnuje získání názvu souboru kapátka a jeho zřetězení s jedním z několika předem definovaných úryvků ze španělských básní vložených do kódu kapátka. Následně malware vypočítá MD5 hash kombinovaného řetězce, který slouží jako dešifrovací klíč pro adresu serveru C2.

Po dešifrování naváže dropper spojení se serverem C2, pokračuje ve stahování následného datového obsahu a zároveň poskytuje pevně zakódované ID jako řetězec User-Agent v požadavku HTTP.

Přístup k užitečné zátěži je omezen, pokud není poskytnut správný uživatelský agent. Navíc se zdá, že užitečné zatížení lze získat pouze jednou na cíl nebo po omezenou dobu po nasazení vzorku malwaru ve volné přírodě.

Naproti tomu trojanizovaný instalátor Total Commander vykazuje několik variant, přičemž zachovává základní funkce původního dropperu. Odstraňuje řetězce španělské básně a zavádí další antianalytická opatření. Tyto kontroly zabraňují připojení k serveru C2, pokud systém detekuje ladicí program nebo monitorovací nástroj, pokud kurzor zůstane nehybný po určenou dobu, pokud je dostupná paměť RAM menší než 8 GB nebo pokud kapacita disku klesne pod 40 GB.

Malware CR4T umožňuje útočníkům provádět příkazy na infikovaných systémech

CR4T ('CR4T.pdb') je pouze paměťový implantát napsaný v C/C++. Poskytuje útočníkům přístup ke konzole příkazového řádku pro provádění příkazů na napadeném systému, provádění operací se soubory a přenos souborů na a ze serveru C2. Kromě toho výzkumníci odhalili verzi Golang CR4T s podobnými funkcemi, včetně provádění libovolných příkazů a vytváření naplánovaných úloh pomocí knihovny Go-ole.

Kromě toho zadní vrátka Golang CR4T implementuje persistenci prostřednictvím únosu objektů COM a využívá Telegram API pro komunikaci C2. Vznik varianty Golang naznačuje, že neidentifikovaní aktéři hrozeb stojící za kampaní DuneQuixote aktivně zdokonalují svou taktiku pomocí multiplatformního malwaru.

Iniciativa „DuneQuixote“ se zaměřuje na subjekty na Blízkém východě a využívá rozmanitou škálu nástrojů zaměřených na utajení a vytrvalost. Útočníci předvádějí pokročilé únikové schopnosti a techniky nasazením pouze paměťových implantátů a dropperů maskovaných jako legitimní software, jako je napodobování instalačního programu Total Commander.