CR4T rosszindulatú program

A Közel-Kelet kormányzati intézményei egy lopakodó támadás célpontjaivá váltak, amelynek célja, hogy behatoljanak rendszereikbe egy korábban ismeretlen, CR4T néven ismert hátsó ajtóval. A kiberbiztonsági szakértők először 2024 februárjában vették észre ezt a tevékenységet, de a bizonyítékok arra utalnak, hogy már egy évvel korábban elkezdődhetett. A műveletet DuneQuixote néven követi nyomon. Az elkövetők mindent megtettek annak érdekében, hogy megakadályozzák rosszindulatú implantátumaik felderítését és vizsgálatát, kifinomult kitérési technikákat alkalmazva mind hálózati kommunikációjukban, mind magának a kártevőnek a tervezésében.

A DuneQuixote támadási lánc kezdeti szakasza

A támadás egy dropperrel kezdődik, amely két változatban érhető el: egy szabványos dropperrel, futtatható vagy DLL formában, és egy manipulált telepítőfájllal a legitim eszközhöz, a Total Commanderhez. A változattól függetlenül a dropper elsődleges célja továbbra is konzisztens: titkosított Command-and-Control (C2) cím kinyerése, innovatív visszafejtési technikával, hogy megvédje a szerver címét az automatizált kártevő-elemző eszközöktől.

Ez a módszer magában foglalja a csepegtető fájlnevének beszerzését, és a csepegtető kódjába ágyazott, előre meghatározott spanyol versrészletek egyikével való összefűzését. Ezt követően a rosszindulatú program kiszámítja a kombinált karakterlánc MD5-kivonatát, amely a C2 szervercím visszafejtési kulcsaként szolgál.

A visszafejtést követően a dropper kapcsolatot létesít a C2 kiszolgálóval, és folytatja a következő hasznos adat letöltését, miközben a HTTP-kérésben felhasználói ügynök karakterláncként egy merev kódolt azonosítót biztosít.

A rakományhoz való hozzáférés korlátozott, hacsak nincs megadva a megfelelő felhasználói ügynök. Sőt, úgy tűnik, hogy a hasznos adat célpontonként csak egyszer, vagy egy rosszindulatú programminta vadon történő telepítését követően korlátozott ideig érhető el.

Ezzel szemben a trójai Total Commander telepítő számos eltérést mutat, miközben megőrzi az eredeti cseppentő alapvető funkcióit. Megszünteti a spanyol versfüzéreket, és további elemzésellenes intézkedéseket vezet be. Ezek az ellenőrzések megakadályozzák a kapcsolatot a C2 szerverrel, ha a rendszer hibakeresőt vagy megfigyelőeszközt észlel, ha a kurzor egy meghatározott időtartamon túl mozdulatlan marad, ha a rendelkezésre álló RAM kevesebb, mint 8 GB, vagy ha a lemez kapacitása 40 GB alá esik.

A CR4T malware lehetővé teszi a támadók számára, hogy parancsokat hajtsanak végre a fertőzött rendszereken

A CR4T ('CR4T.pdb') egy C/C++ nyelven írt, csak memóriát használó implantátum. Hozzáférést biztosít a támadók számára egy parancssori konzolhoz, ahol parancsokat hajthatnak végre a feltört rendszeren, fájlműveleteket hajthatnak végre, valamint fájlokat továbbíthatnak a C2-kiszolgálóra és onnan. Ezenkívül a kutatók felfedezték a CR4T Golang változatát, amely hasonló funkciókkal rendelkezik, beleértve az önkényes parancsok végrehajtását és az ütemezett feladatok létrehozását a Go-ole könyvtár használatával.

Ezen túlmenően a Golang CR4T hátsó ajtó a COM-objektum eltérítésen keresztüli kitartást valósítja meg, és a Telegram API-t használja a C2 kommunikációhoz. A Golang variáns megjelenése azt jelzi, hogy a DuneQuixote kampány mögött meghúzódó, azonosítatlan fenyegetés szereplői aktívan finomítják taktikájukat a platformok közötti kártevőkkel.

A „DuneQuixote” kezdeményezés a közel-keleti entitásokra összpontosít, különféle eszközöket alkalmazva, amelyek célja a lopakodás és a kitartás. A támadók fejlett kijátszási képességeket és technikákat mutatnak be a csak memóriát használó implantátumok és legális szoftvernek álcázott cseppentők bevetésével, például a Total Commander telepítőjének utánzásával.