بدافزار CR4T

نهادهای دولتی در سراسر خاورمیانه به هدف یک عملیات حمله مخفیانه با هدف نفوذ به سیستم های آنها با درب پشتی ناشناخته قبلی به نام CR4T تبدیل شده اند. کارشناسان امنیت سایبری برای اولین بار در فوریه 2024 متوجه این فعالیت شدند، اما شواهد نشان می دهد که می تواند از یک سال قبل شروع شده باشد. این عملیات به عنوان DuneQuixote ردیابی می شود. مجرمان تمام تلاش خود را برای جلوگیری از شناسایی و بررسی ایمپلنت های مخرب خود انجام داده اند و از تکنیک های پیچیده فرار در ارتباطات شبکه و طراحی خود بدافزار استفاده می کنند.

مرحله اولیه زنجیره حمله DuneQuixote

حمله با یک قطره چکان آغاز می شود که در دو نوع موجود است: یک قطره چکان استاندارد، به صورت اجرایی یا DLL، و یک فایل نصب کننده دستکاری شده برای ابزار قانونی، Total Commander. صرف نظر از نوع، هدف اصلی قطره چکان ثابت است: استخراج یک آدرس فرمان و کنترل رمزگذاری شده (C2)، با استفاده از یک تکنیک رمزگشایی مبتکرانه برای محافظت از آدرس سرور در برابر ابزارهای تجزیه و تحلیل بدافزار خودکار.

این روش شامل به دست آوردن نام فایل قطره چکان و الحاق آن به یکی از چندین گزیده از پیش تعریف شده از اشعار اسپانیایی است که در کد قطره چکان تعبیه شده است. متعاقباً، بدافزار هش MD5 رشته ترکیبی را محاسبه می کند که به عنوان کلید رمزگشایی آدرس سرور C2 عمل می کند.

پس از رمزگشایی، قطره چکان با سرور C2 ارتباط برقرار می کند، و در حالی که یک شناسه رمزگذاری شده را به عنوان رشته User-Agent در درخواست HTTP ارائه می دهد، بارگیری بارگیری بعدی را دانلود می کند.

دسترسی به محموله محدود شده است مگر اینکه عامل کاربر صحیح ارائه شده باشد. علاوه بر این، به نظر می رسد که محموله ممکن است فقط یک بار در هر هدف یا برای مدت محدودی پس از استقرار یک نمونه بدافزار در طبیعت قابل بازیابی باشد.

در مقابل، نصب کننده تروجان شده Total Commander در حالی که عملکرد اصلی قطره چکان اصلی را حفظ می کند، چندین واریانس را نشان می دهد. رشته های شعر اسپانیایی را حذف می کند و اقدامات ضد تحلیل دیگری را معرفی می کند. این بررسی‌ها از اتصال به سرور C2 جلوگیری می‌کند اگر سیستم اشکال‌زدایی یا ابزار نظارتی را شناسایی کند، اگر مکان‌نما بیش از مدت زمان مشخص ثابت بماند، اگر RAM موجود کمتر از 8 گیگابایت باشد یا اگر ظرفیت دیسک به زیر 40 گیگابایت برسد.

بدافزار CR4T به مهاجمان اجازه می دهد تا دستورات را بر روی سیستم های آلوده اجرا کنند.

CR4T ('CR4T.pdb') یک ایمپلنت فقط حافظه دار است که به زبان C/C++ نوشته شده است. به مهاجمان دسترسی به یک کنسول خط فرمان برای اجرای دستورات در سیستم در معرض خطر، انجام عملیات فایل و انتقال فایل ها به و از سرور C2 را فراهم می کند. علاوه بر این، محققان نسخه Golang CR4T را با عملکردهای مشابه، از جمله اجرای دستورات دلخواه و ایجاد وظایف برنامه ریزی شده با استفاده از کتابخانه Go-ole، کشف کرده اند.

علاوه بر این، درب پشتی Golang CR4T پایداری را از طریق ربودن شی COM پیاده سازی می کند و از API تلگرام برای ارتباطات C2 استفاده می کند. ظهور نوع Golang نشان می‌دهد که عوامل تهدید ناشناس پشت کمپین DuneQuixote به طور فعال تاکتیک‌های خود را با بدافزارهای چند پلتفرمی اصلاح می‌کنند.

ابتکار «DuneQuixote» بر موجودیت‌های خاورمیانه متمرکز است و از طیف متنوعی از ابزارها با هدف پنهان کاری و پایداری استفاده می‌کند. مهاجمان قابلیت‌ها و تکنیک‌های پیشرفته فرار را با استفاده از ایمپلنت‌ها و قطره‌کن‌های فقط حافظه‌ای که به عنوان نرم‌افزار قانونی مبدل شده‌اند، مانند تقلید از نصب‌کننده Total Commander به نمایش می‌گذارند.