CR4T pahavara

Lähis-Ida valitsusasutused on muutunud vargse rünnaku sihtmärgiks, mille eesmärk on tungida nende süsteemidesse varem tundmatu tagauksega, mida tuntakse CR4T nime all. Küberjulgeolekueksperdid märkasid seda tegevust esmakordselt 2024. aasta veebruaris, kuid tõendid viitavad sellele, et see võis alata juba aasta varem. Toimingut jälgitakse DuneQuixote nime all. Kurjategijad on näinud palju vaeva, et takistada oma pahatahtlike implantaatide tuvastamist ja uurimist, kasutades nii võrgusuhtluses kui ka pahavara enda kujundamisel keerukaid kõrvalehoidmistehnikaid.

DuneQuixote rünnakuahela esialgne etapp

Rünnak algab tilgutiga, mis on saadaval kahes variandis: standardne tilguti, kas käivitatava või DLL-vormingus, ja manipuleeritud installifail legitiimse tööriista Total Commander jaoks. Olenemata variandist jääb tilguti esmane eesmärk järjepidevaks: ekstraheerida krüpteeritud käsu- ja juhtimisaadress (C2), kasutades uuenduslikku dekrüpteerimistehnikat, et kaitsta serveri aadressi automaatsete pahavaraanalüüsi tööriistade eest.

See meetod hõlmab tilguti failinime hankimist ja selle ühendamist ühega mitmest eelnevalt määratletud väljavõttest hispaaniakeelsetest luuletustest, mis on manustatud tilguti koodi. Seejärel arvutab pahavara kombineeritud stringi MD5 räsi, mis toimib C2 serveri aadressi dekrüpteerimisvõtmena.

Pärast dekrüpteerimist loob dropper ühenduse C2-serveriga, jätkates järgmise kasuliku koormuse allalaadimist, esitades samal ajal HTTP-päringu kasutaja-agendi stringina kõvakodeeritud ID.

Juurdepääs kasulikule koormusele on piiratud, välja arvatud juhul, kui õige kasutajaagent on varustatud. Veelgi enam, näib, et kasulikku lasti saab hankida ainult üks kord sihtmärgi kohta või piiratud aja jooksul pärast pahavara näidise kasutuselevõttu looduses.

Trojaniseeritud Total Commanderi installiprogrammil on seevastu mitmeid erinevusi, säilitades samal ajal algse tilguti põhifunktsioonid. See kõrvaldab hispaaniakeelsed luuletuse stringid ja võtab kasutusele täiendavad analüüsivastased meetmed. Need kontrollid takistavad ühenduse loomist C2 serveriga, kui süsteem tuvastab siluri või jälgimistööriista, kui kursor jääb kindlaksmääratud aja jooksul paigale, kui saadaolev RAM on alla 8 GB või kui ketta maht langeb alla 40 GB.

CR4T pahavara võimaldab ründajatel nakatatud süsteemides käske täita

CR4T ('CR4T.pdb') on ainult mäluga implantaat, mis on kirjutatud C/C++ keeles. See annab ründajatele juurdepääsu käsurea konsoolile, et täita ohustatud süsteemis käske, teha failitoiminguid ning edastada faile C2-serverisse ja sealt. Lisaks on teadlased avastanud CR4T Golangi versiooni, millel on sarnased funktsioonid, sealhulgas suvaliste käskude täitmine ja ajastatud ülesannete loomine Go-ole teegi abil.

Lisaks rakendab Golang CR4T tagauks püsivust COM-objektide kaaperdamise kaudu ja kasutab C2-suhtluseks Telegrami API-d. Golangi variandi esilekerkimine näitab, et DuneQuixote'i kampaania taga olevad tundmatud ohus osalejad täiustavad aktiivselt oma taktikat platvormideülese pahavaraga.

Algatus "DuneQuixote" keskendub Lähis-Ida üksustele, kasutades mitmesuguseid tööriistu, mille eesmärk on vargsi ja püsivus. Ründajad tutvustavad täiustatud kõrvalehoidmise võimalusi ja tehnikaid, rakendades ainult mäluga implantaate ja tilgutiid, mis on maskeeritud legitiimse tarkvarana, näiteks imiteerivad Total Commanderi installerit.