CR4T Malware

Državne institucije diljem Bliskog istoka postale su mete tajne operacije napada čiji je cilj infiltracija u njihove sustave s prethodno nepoznatim stražnjim vratima poznatim kao CR4T. Stručnjaci za kibernetičku sigurnost prvi su put primijetili ovu aktivnost u veljači 2024., ali dokazi sugeriraju da je mogla započeti već godinu dana prije. Operacija se prati kao DuneQuixote. Počinitelji su se jako potrudili spriječiti otkrivanje i ispitivanje svojih zlonamjernih implantata, koristeći sofisticirane tehnike izbjegavanja kako u svojoj mrežnoj komunikaciji tako iu dizajnu samog zlonamjernog softvera.

Početna faza lanca napada DuneQuixote

Napad počinje dropperom, dostupnim u dvije varijante: standardni dropper, bilo u izvršnom ili DLL obliku, i manipulirana instalacijska datoteka za legitimni alat, Total Commander. Bez obzira na varijantu, primarni cilj droppera ostaje dosljedan: izdvojiti šifriranu Command-and-Control (C2) adresu, korištenjem inovativne tehnike dešifriranja za zaštitu adrese poslužitelja od automatiziranih alata za analizu zlonamjernog softvera.

Ova metoda uključuje dobivanje naziva datoteke kapaljke i njegovo spajanje s jednim od nekoliko unaprijed definiranih izvadaka iz španjolskih pjesama ugrađenih u kod kapaljke. Nakon toga, zlonamjerni softver izračunava MD5 hash kombiniranog niza, koji služi kao ključ za dešifriranje adrese C2 poslužitelja.

Nakon dešifriranja, dropper uspostavlja veze s C2 poslužiteljem, nastavljajući s preuzimanjem sljedećeg korisnog sadržaja dok dostavlja tvrdo kodirani ID kao niz User-Agent u HTTP zahtjevu.

Pristup sadržaju je ograničen osim ako nije dostavljen ispravan korisnički agent. Štoviše, čini se da se korisni teret može dohvatiti samo jednom po cilju ili na ograničeno vrijeme nakon postavljanja uzorka zlonamjernog softvera u prirodi.

Nasuprot tome, trojanizirani instalacijski program Total Commandera pokazuje nekoliko varijacija zadržavajući temeljnu funkcionalnost izvornog droppera. Uklanja španjolske nizove pjesama i uvodi dodatne mjere protiv analize. Ove provjere sprječavaju povezivanje s C2 poslužiteljem ako sustav otkrije program za ispravljanje pogrešaka ili alat za nadzor, ako kursor ostane nepomičan nakon određenog vremena, ako je raspoloživi RAM manji od 8 GB ili ako kapacitet diska padne ispod 40 GB.

Malware CR4T omogućuje napadačima izvršavanje naredbi na zaraženim sustavima

CR4T ('CR4T.pdb') je implantat samo za memoriju napisan u C/C++. Omogućuje napadačima pristup konzoli naredbenog retka za izvršavanje naredbi na kompromitiranom sustavu, izvođenje operacija s datotekama i prijenos datoteka na i s C2 poslužitelja. Dodatno, istraživači su otkrili Golang verziju CR4T sa sličnim funkcionalnostima, uključujući izvršavanje proizvoljnih naredbi i stvaranje planiranih zadataka pomoću Go-ole biblioteke.

Štoviše, Golang CR4T backdoor implementira postojanost kroz otmicu COM objekta i koristi Telegram API za C2 komunikaciju. Pojava Golang varijante ukazuje na to da neidentificirani akteri prijetnji koji stoje iza DuneQuixote kampanje aktivno usavršavaju svoju taktiku s višeplatformskim zlonamjernim softverom.

Inicijativa 'DuneQuixote' usredotočena je na entitete na Bliskom istoku, koristeći raznolik niz alata usmjerenih na pritajenost i upornost. Napadači pokazuju napredne mogućnosti i tehnike izbjegavanja uvođenjem implantata i droppera samo za memoriju prerušenih u legitiman softver, poput oponašanja instalacijskog programa Total Commander.