Malware CR4T

Le istituzioni governative in tutto il Medio Oriente sono diventate bersaglio di un'operazione di attacco furtivo volta a infiltrarsi nei loro sistemi con una backdoor precedentemente sconosciuta nota come CR4T. Gli esperti di sicurezza informatica hanno notato per la prima volta questa attività nel febbraio 2024, ma le prove suggeriscono che potrebbe essere iniziata già un anno prima. L'operazione viene monitorata come DuneQuixote. Gli autori del reato hanno fatto di tutto per impedire il rilevamento e l'esame dei loro impianti dannosi, impiegando sofisticate tecniche di evasione sia nelle comunicazioni di rete che nella progettazione del malware stesso.

La fase iniziale della catena di attacco DuneQuixote

L'attacco inizia con un dropper, disponibile in due varianti: un dropper standard, in formato eseguibile o DLL, e un file di installazione manipolato per lo strumento legittimo, Total Commander. Indipendentemente dalla variante, l'obiettivo principale del dropper rimane coerente: estrarre un indirizzo di comando e controllo (C2) crittografato, utilizzando una tecnica di decrittografia innovativa per salvaguardare l'indirizzo del server da strumenti automatizzati di analisi del malware.

Questo metodo prevede l'acquisizione del nome file del dropper e la concatenazione con uno dei numerosi estratti predefiniti di poesie spagnole incorporati nel codice del dropper. Successivamente, il malware calcola l'hash MD5 della stringa combinata, che funge da chiave di decrittazione per l'indirizzo del server C2.

Una volta decrittografato, il dropper stabilisce connessioni con il server C2, procedendo al download di un successivo payload fornendo al contempo un ID hardcoded come stringa User-Agent nella richiesta HTTP.

L'accesso al payload è limitato a meno che non venga fornito l'agente utente corretto. Inoltre, sembra che il payload possa essere recuperabile solo una volta per bersaglio o per un periodo di tempo limitato dopo la distribuzione di un campione di malware in natura.

Al contrario, il programma di installazione di Total Commander, affetto da trojan, presenta diverse varianti pur mantenendo la funzionalità principale del dropper originale. Elimina i fili della poesia spagnola e introduce ulteriori misure anti-analisi. Questi controlli impediscono una connessione al server C2 se il sistema rileva un debugger o uno strumento di monitoraggio, se il cursore rimane fermo oltre una durata specificata, se la RAM disponibile è inferiore a 8 GB o se la capacità del disco scende al di sotto di 40 GB.

Il malware CR4T consente agli aggressori di eseguire comandi sui sistemi infetti

CR4T ('CR4T.pdb') è un impianto di sola memoria scritto in C/C++. Fornisce agli aggressori l'accesso a una console della riga di comando per eseguire comandi sul sistema compromesso, eseguire operazioni sui file e trasferire file da e verso il server C2. Inoltre, i ricercatori hanno scoperto una versione Golang di CR4T con funzionalità simili, inclusa l'esecuzione di comandi arbitrari e la creazione di attività pianificate utilizzando la libreria Go-ole.

Inoltre, la backdoor Golang CR4T implementa la persistenza attraverso il dirottamento di oggetti COM e utilizza l'API di Telegram per le comunicazioni C2. L’emergere della variante Golang indica che gli autori delle minacce non identificati dietro la campagna DuneQuixote stanno attivamente perfezionando le loro tattiche con malware multipiattaforma.

L'iniziativa "DuneQuixote" si concentra su entità del Medio Oriente, utilizzando una vasta gamma di strumenti mirati alla furtività e alla persistenza. Gli aggressori mettono in mostra capacità e tecniche di evasione avanzate implementando impianti e dropper di sola memoria camuffati da software legittimo, ad esempio imitando il programma di installazione di Total Commander.