CR4T मैलवेयर

मध्य पूर्व में सरकारी संस्थान एक गुप्त हमले के अभियान का लक्ष्य बन गए हैं जिसका उद्देश्य CR4T नामक एक पहले से अज्ञात बैकडोर के साथ उनके सिस्टम में घुसपैठ करना है। साइबर सुरक्षा विशेषज्ञों ने पहली बार फरवरी 2024 में इस गतिविधि को देखा, लेकिन सबूत बताते हैं कि यह एक साल पहले ही शुरू हो सकता था। इस ऑपरेशन को ड्यूनक्विक्सोट के रूप में ट्रैक किया जा रहा है। अपराधियों ने अपने दुर्भावनापूर्ण प्रत्यारोपणों का पता लगाने और जांच को रोकने के लिए बहुत हद तक कोशिश की है, अपने नेटवर्क संचार और मैलवेयर के डिजाइन दोनों में परिष्कृत चोरी तकनीकों का उपयोग किया है।

ड्यूनक्विज़ोट हमला श्रृंखला का प्रारंभिक चरण

हमला एक ड्रॉपर से शुरू होता है, जो दो रूपों में उपलब्ध है: एक मानक ड्रॉपर, या तो निष्पादन योग्य या DLL रूप में, और वैध उपकरण, टोटल कमांडर के लिए एक हेरफेर की गई इंस्टॉलर फ़ाइल। चाहे कोई भी रूप हो, ड्रॉपर का प्राथमिक उद्देश्य एक जैसा ही रहता है: एक एन्क्रिप्टेड कमांड-एंड-कंट्रोल (C2) पता निकालना, स्वचालित मैलवेयर विश्लेषण उपकरणों से सर्वर पते की सुरक्षा के लिए एक अभिनव डिक्रिप्शन तकनीक का उपयोग करना।

इस विधि में ड्रॉपर का फ़ाइल नाम प्राप्त करना और उसे ड्रॉपर के कोड में एम्बेडेड स्पैनिश कविताओं के कई पूर्व-निर्धारित अंशों में से एक के साथ जोड़ना शामिल है। इसके बाद, मैलवेयर संयुक्त स्ट्रिंग के MD5 हैश की गणना करता है, जो C2 सर्वर पते के लिए डिक्रिप्शन कुंजी के रूप में कार्य करता है।

एक बार डिक्रिप्ट होने के बाद, ड्रॉपर C2 सर्वर के साथ कनेक्शन स्थापित करता है, तथा HTTP अनुरोध में उपयोगकर्ता-एजेंट स्ट्रिंग के रूप में हार्ड-कोडेड ID प्रस्तुत करते हुए, अनुवर्ती पेलोड को डाउनलोड करने के लिए आगे बढ़ता है।

जब तक सही उपयोगकर्ता एजेंट उपलब्ध नहीं कराया जाता है, तब तक पेलोड तक पहुँच प्रतिबंधित है। इसके अलावा, ऐसा प्रतीत होता है कि पेलोड को प्रति लक्ष्य केवल एक बार या मैलवेयर नमूने की तैनाती के बाद सीमित समय के लिए ही पुनर्प्राप्त किया जा सकता है।

इसके विपरीत, ट्रोजनकृत टोटल कमांडर इंस्टॉलर मूल ड्रॉपर की मुख्य कार्यक्षमता को बनाए रखते हुए कई भिन्नताएं प्रदर्शित करता है। यह स्पैनिश कविता स्ट्रिंग्स को समाप्त करता है और अतिरिक्त एंटी-विश्लेषण उपायों को पेश करता है। ये जाँचें C2 सर्वर से कनेक्शन को रोकती हैं यदि सिस्टम डिबगर या मॉनिटरिंग टूल का पता लगाता है, यदि कर्सर निर्दिष्ट अवधि से अधिक स्थिर रहता है, यदि उपलब्ध RAM 8 GB से कम है, या यदि डिस्क क्षमता 40 GB से कम हो जाती है।

CR4T मैलवेयर हमलावरों को संक्रमित सिस्टम पर कमांड निष्पादित करने की अनुमति देता है

CR4T ('CR4T.pdb') एक मेमोरी-ओनली इम्प्लांट है जिसे C/C++ में लिखा गया है। यह हमलावरों को समझौता किए गए सिस्टम पर कमांड निष्पादित करने, फ़ाइल संचालन करने और C2 सर्वर से फ़ाइलों को स्थानांतरित करने के लिए कमांड-लाइन कंसोल तक पहुँच प्रदान करता है। इसके अतिरिक्त, शोधकर्ताओं ने CR4T के एक Golang संस्करण को उजागर किया है जिसमें समान कार्यक्षमताएँ हैं, जिसमें मनमाने आदेशों का निष्पादन और Go-ole लाइब्रेरी का उपयोग करके शेड्यूल किए गए कार्यों का निर्माण शामिल है।

इसके अलावा, गोलांग CR4T बैकडोर COM ऑब्जेक्ट हाइजैकिंग के माध्यम से दृढ़ता को लागू करता है और C2 संचार के लिए टेलीग्राम API का उपयोग करता है। गोलांग वैरिएंट का उद्भव यह दर्शाता है कि ड्यूनक्विक्सोट अभियान के पीछे अज्ञात खतरा अभिनेता क्रॉस-प्लेटफ़ॉर्म मैलवेयर के साथ अपनी रणनीति को सक्रिय रूप से परिष्कृत कर रहे हैं।

'ड्यूनक्विक्सोट' पहल मध्य पूर्व में संस्थाओं पर केंद्रित है, जो चुपके और दृढ़ता के उद्देश्य से विभिन्न प्रकार के उपकरणों का उपयोग करती है। हमलावर वैध सॉफ़्टवेयर के रूप में प्रच्छन्न मेमोरी-ओनली इम्प्लांट और ड्रॉपर तैनात करके उन्नत बचाव क्षमताओं और तकनीकों का प्रदर्शन करते हैं, जैसे कि टोटल कमांडर इंस्टॉलर की नकल करना।