תוכנה זדונית CR4T

מוסדות ממשלתיים ברחבי המזרח התיכון הפכו למטרות של מבצע תקיפה חמקני שמטרתו לחדור למערכות שלהם עם דלת אחורית שלא הייתה ידועה בעבר המכונה CR4T. מומחי אבטחת סייבר הבחינו לראשונה בפעילות זו בפברואר 2024, אך עדויות מצביעות על כך שהיא יכולה הייתה להתחיל כבר שנה קודם לכן. המבצע נמצא במעקב בשם DuneQuixote. העבריינים עשו מאמצים רבים כדי למנוע זיהוי ובדיקה של השתלים הזדוניים שלהם, תוך שימוש בטכניקות התחמקות מתוחכמות הן בתקשורת הרשת שלהם והן בתכנון התוכנה הזדונית עצמה.

השלב הראשוני של שרשרת ההתקפה של DuneQuixote

המתקפה מתחילה ב-dropper, זמין בשתי וריאציות: dropper סטנדרטי, או בצורת הפעלה או DLL, וקובץ מתקין שעבר מניפולציות עבור הכלי הלגיטימי, Total Commander. ללא קשר לגרסה, המטרה העיקרית של הטפטפת נשארת עקבית: לחלץ כתובת מוצפנת Command-and-Control (C2), תוך שימוש בטכניקת פענוח חדשנית כדי להגן על כתובת השרת מכלי ניתוח אוטומטי של תוכנות זדוניות.

שיטה זו כוללת רכישת שם הקובץ של הטפטפת ושרשורו עם אחד מכמה קטעים מוגדרים מראש משירים ספרדיים המוטבעים בתוך הקוד של הטפטפת. לאחר מכן, התוכנה הזדונית מחשבת את ה-hash MD5 של המחרוזת המשולבת, המשמשת כמפתח הפענוח עבור כתובת שרת C2.

לאחר הפענוח, הטפטף יוצר קשרים עם שרת C2, ממשיך להורדת מטען עוקב תוך ציון מזהה מקודד כמחרוזת User-Agent בבקשת ה-HTTP.

הגישה למטען מוגבלת אלא אם סופקו סוכן המשתמש הנכון. יתרה מכך, נראה כי ניתן לאחזר את המטען רק פעם אחת לכל יעד או לזמן מוגבל לאחר פריסת דגימת תוכנות זדוניות בטבע.

לעומת זאת, מתקין ה-Total Commander הטרויאני מציג מספר שונות תוך שמירה על פונקציונליות הליבה של הטפטפת המקורית. הוא מבטל את מחרוזות השיר הספרדי ומציג אמצעים אנטי-אנליטיים נוספים. בדיקות אלו מונעות חיבור לשרת C2 אם המערכת מזהה באגים או כלי ניטור, אם הסמן נשאר נייח מעבר לזמן מוגדר, אם זיכרון ה-RAM הזמין קטן מ-8 GB, או אם קיבולת הדיסק יורדת מתחת ל-40 GB.

תוכנת זדונית CR4T מאפשרת לתוקפים לבצע פקודות במערכות הנגועות

CR4T ('CR4T.pdb') הוא שתל לזיכרון בלבד שנכתב ב-C/C++. הוא מספק לתוקפים גישה למסוף שורת פקודה לביצוע פקודות במערכת שנפרצה, ביצוע פעולות קבצים והעברת קבצים אל ומשרת C2. בנוסף, חוקרים חשפו גרסת Golang של CR4T עם פונקציות דומות, כולל ביצוע פקודות שרירותיות ויצירת משימות מתוזמנות באמצעות ספריית Go-ole.

יתרה מכך, הדלת האחורית של Golang CR4T מיישמת התמדה באמצעות חטיפת אובייקט COM ומשתמשת ב- Telegram API עבור תקשורת C2. הופעתה של גרסת Golang מצביעה על כך ששחקני האיומים הלא מזוהים מאחורי מסע הפרסום של DuneQuixote משכללים באופן פעיל את הטקטיקה שלהם עם תוכנות זדוניות חוצות פלטפורמות.

יוזמת 'DuneQuixote' מתמקדת בישויות במזרח התיכון, תוך שימוש במגוון מגוון של כלים שמטרתם התגנבות והתמדה. התוקפים מציגים יכולות וטכניקות התחמקות מתקדמות על ידי פריסת שתלי זיכרון וטפטפות בלבד המחופשים לתוכנה לגיטימית, כגון חיקוי מתקין Total Commander.