CR4T-haittaohjelma

Lähi-idän valtion instituutioista on tullut salaperäisen hyökkäysoperaation kohteita, joiden tarkoituksena on tunkeutua niiden järjestelmiin aiemmin tuntemattomalla takaovella, joka tunnetaan nimellä CR4T. Kyberturvallisuusasiantuntijat huomasivat tämän toiminnan ensimmäisen kerran helmikuussa 2024, mutta todisteet viittaavat siihen, että se olisi voinut alkaa jo vuotta aiemmin. Operaatiota seurataan nimellä DuneQuixote. Tekijät ovat tehneet paljon vaivaa estääkseen haitallisten istutteidensa havaitsemisen ja tutkimisen käyttämällä kehittyneitä evaasitekniikoita sekä verkkoviestinnässään että itse haittaohjelman suunnittelussa.

DuneQuixote-hyökkäysketjun alkuvaihe

Hyökkäys alkaa dropperilla, jota on saatavana kahdessa muunnelmassa: tavallinen dropper, joko suoritettavassa tai DLL-muodossa, ja manipuloitu asennustiedosto lailliselle työkalulle, Total Commanderille. Variantista riippumatta dropperin ensisijainen tavoite pysyy yhtenäisenä: salatun Command-and-Control (C2) -osoitteen purkaminen käyttämällä innovatiivista salauksenpurkutekniikkaa palvelimen osoitteen suojaamiseksi automaattisilta haittaohjelmien analysointityökaluilta.

Tämä menetelmä sisältää tiputtimen tiedostonimen hankinnan ja sen yhdistämisen yhteen useista ennalta määritetyistä espanjalaisen runon otteista, jotka on upotettu tiputtimen koodiin. Tämän jälkeen haittaohjelma laskee yhdistetyn merkkijonon MD5-hajautusarvon, joka toimii C2-palvelimen osoitteen salauksenpurkuavaimena.

Kun salaus on purettu, dropperi muodostaa yhteyden C2-palvelimeen ja jatkaa seuraavan hyötykuorman lataamista samalla kun se toimittaa kovakoodatun tunnuksen User-Agent-merkkijonoksi HTTP-pyynnössä.

Pääsy hyötykuormaan on rajoitettu, ellei oikeaa käyttäjäagenttia ole toimitettu. Lisäksi näyttää siltä, että hyötykuorma voi olla noudettavissa vain kerran kohdetta kohden tai rajoitetun ajan haittaohjelmanäytteen käyttöönoton jälkeen luonnossa.

Sitä vastoin troijalaisessa Total Commander -asennusohjelmassa on useita variansseja säilyttäen samalla alkuperäisen dropperin ydintoiminnot. Se poistaa espanjalaiset runon kielet ja ottaa käyttöön uusia analyysin vastaisia toimenpiteitä. Nämä tarkistukset estävät yhteyden muodostamisen C2-palvelimeen, jos järjestelmä havaitsee virheenkorjauksen tai valvontatyökalun, jos kohdistin pysyy paikallaan tietyn ajan yli, jos käytettävissä oleva RAM-muisti on alle 8 Gt tai jos levyn kapasiteetti laskee alle 40 Gt.

CR4T-haittaohjelma sallii hyökkääjien suorittaa komentoja tartunnan saaneissa järjestelmissä

CR4T ('CR4T.pdb') on vain muistia sisältävä implantti, joka on kirjoitettu C/C++-kielellä. Se tarjoaa hyökkääjille pääsyn komentorivikonsoliin komentojen suorittamista varten vaarantuneessa järjestelmässä, tiedostotoimintojen suorittamista ja tiedostojen siirtämistä C2-palvelimelle ja sieltä pois. Lisäksi tutkijat ovat löytäneet Golang-version CR4T:stä, jossa on samanlaiset toiminnot, mukaan lukien mielivaltaisten komentojen suorittaminen ja ajoitettujen tehtävien luominen Go-ole-kirjaston avulla.

Lisäksi Golang CR4T -takaovi toteuttaa pysyvyyttä COM-objektien kaappauksen kautta ja käyttää Telegram API:ta C2-viestintään. Golang-variantin ilmaantuminen osoittaa, että DuneQuixote-kampanjan takana olevat tunnistamattomat uhkatoimijat jalostavat aktiivisesti taktiikkaansa eri alustojen haittaohjelmilla.

"DuneQuixote" -aloite keskittyy Lähi-idän kokonaisuuksiin, ja se käyttää erilaisia työkaluja, jotka tähtäävät varkain ja sinnikkyyteen. Hyökkääjät esittelevät edistyneitä evaasio-ominaisuuksia ja -tekniikoita ottamalla käyttöön vain muistia sisältäviä implantteja ja droppereita, jotka on naamioitu laillisiksi ohjelmistoiksi, kuten jäljittelevät Total Commander -asennusohjelmaa.