មេរោគ CR4T

ស្ថាប័នរដ្ឋាភិបាលនៅទូទាំងមជ្ឈិមបូព៌ាបានក្លាយជាគោលដៅនៃប្រតិបត្តិការវាយប្រហារបំបាំងកាយដែលមានគោលបំណងជ្រៀតចូលប្រព័ន្ធរបស់ពួកគេជាមួយនឹង backdoor ដែលមិនស្គាល់ពីមុនដែលគេស្គាល់ថាជា CR4T ។ អ្នកជំនាញផ្នែកសន្តិសុខតាមអ៊ីនធឺណិតបានកត់សម្គាល់ឃើញសកម្មភាពនេះជាលើកដំបូងនៅក្នុងខែកុម្ភៈ ឆ្នាំ 2024 ប៉ុន្តែភស្តុតាងបង្ហាញថាវាអាចចាប់ផ្តើមនៅដើមឆ្នាំមុន។ ប្រតិបត្តិការនេះកំពុងត្រូវបានតាមដានជា DuneQuixote។ ជនល្មើសបានឆ្លងកាត់យ៉ាងយូរដើម្បីការពារការរកឃើញ និងការពិនិត្យលើការផ្សាំព្យាបាទរបស់ពួកគេ ដោយប្រើប្រាស់បច្ចេកទេសគេចវេសដ៏ស្មុគ្រស្មាញទាំងនៅក្នុងទំនាក់ទំនងបណ្តាញរបស់ពួកគេ និងការរចនាមេរោគដោយខ្លួនឯង។

ដំណាក់កាលដំបូងនៃខ្សែសង្វាក់វាយប្រហារ DuneQuixote

ការវាយប្រហារចាប់ផ្តើមដោយ dropper ដែលមាននៅក្នុងបំរែបំរួលពីរ៖ dropper ស្តង់ដារ ទាំងទម្រង់ដែលអាចប្រតិបត្តិបាន ឬ DLL និងឯកសារដំឡើងដែលបានរៀបចំសម្រាប់ឧបករណ៍ស្របច្បាប់ Total Commander ។ ដោយមិនគិតពីវ៉ារ្យ៉ង់នោះ គោលបំណងចម្បងរបស់ dropper នៅតែជាប់លាប់៖ ដើម្បីទាញយកអាសយដ្ឋាន Command-and-Control (C2) ដែលបានអ៊ិនគ្រីប ដោយប្រើបច្ចេកទេសឌិគ្រីបប្រកបដោយភាពច្នៃប្រឌិត ដើម្បីការពារអាសយដ្ឋានម៉ាស៊ីនមេពីឧបករណ៍វិភាគមេរោគដោយស្វ័យប្រវត្តិ។

វិធីសាស្រ្តនេះពាក់ព័ន្ធនឹងការទទួលបានឈ្មោះឯកសាររបស់ dropper និងភ្ជាប់វាជាមួយការដកស្រង់ដែលបានកំណត់ជាមុនមួយចំនួនពីកំណាព្យអេស្ប៉ាញដែលបានបង្កប់នៅក្នុងកូដរបស់ dropper ។ ក្រោយមក មេរោគនឹងគណនា MD5 hash នៃខ្សែអក្សររួមបញ្ចូលគ្នា ដែលបម្រើជាគន្លឹះក្នុងការឌិគ្រីបសម្រាប់អាសយដ្ឋានម៉ាស៊ីនមេ C2។

នៅពេលដែលបានឌិគ្រីប នោះ dropper បង្កើតការតភ្ជាប់ជាមួយម៉ាស៊ីនមេ C2 ដោយបន្តទាញយក payload ជាបន្តបន្ទាប់ ខណៈពេលដែលផ្តល់ hard-code ID ជាខ្សែ User-Agent ក្នុងសំណើ HTTP។

ការចូលប្រើបន្ទុកត្រូវបានរឹតបន្តឹង លុះត្រាតែភ្នាក់ងារអ្នកប្រើប្រាស់ត្រឹមត្រូវត្រូវបានផ្តល់ជូន។ ជាងនេះទៅទៀត វាបង្ហាញថា payload អាចទាញយកបានតែម្តងប៉ុណ្ណោះក្នុងមួយគោលដៅ ឬសម្រាប់រយៈពេលកំណត់មួយបន្ទាប់ពីការដាក់ពង្រាយគំរូមេរោគនៅក្នុងព្រៃ។

ផ្ទុយទៅវិញ កម្មវិធីដំឡើង trojanized Total Commander បង្ហាញភាពខុសគ្នាជាច្រើន ខណៈពេលដែលរក្សាបាននូវមុខងារស្នូលនៃ dropper ដើម។ វាលុបបំបាត់ខ្សែអក្សរកំណាព្យអេស្ប៉ាញ និងណែនាំវិធានការប្រឆាំងនឹងការវិភាគបន្ថែម។ ការត្រួតពិនិត្យទាំងនេះរារាំងការភ្ជាប់ទៅម៉ាស៊ីនមេ C2 ប្រសិនបើប្រព័ន្ធរកឃើញឧបករណ៍បំបាត់កំហុស ឬឧបករណ៍ត្រួតពិនិត្យ ប្រសិនបើទស្សន៍ទ្រនិចនៅតែស្ថិតស្ថេរលើសពីរយៈពេលដែលបានបញ្ជាក់ ប្រសិនបើ RAM ដែលមានតិចជាង 8 GB ឬប្រសិនបើទំហំថាសធ្លាក់ចុះក្រោម 40 GB ។

មេរោគ CR4T អនុញ្ញាតឱ្យអ្នកវាយប្រហារប្រតិបត្តិពាក្យបញ្ជានៅលើប្រព័ន្ធដែលមានមេរោគ

CR4T ('CR4T.pdb') គឺ​ជា​ការ​ផ្សាំ​សម្រាប់​តែ​ការ​ចងចាំ​ដែល​សរសេរ​ជា C/C++។ វាផ្តល់ឱ្យអ្នកវាយប្រហារនូវការចូលទៅកាន់កុងសូលបន្ទាត់ពាក្យបញ្ជាសម្រាប់ប្រតិបត្តិពាក្យបញ្ជានៅលើប្រព័ន្ធដែលត្រូវបានសម្របសម្រួល ប្រតិបត្តិការឯកសារ និងការផ្ទេរឯកសារទៅ និងពីម៉ាស៊ីនមេ C2 ។ លើសពីនេះទៀត អ្នកស្រាវជ្រាវបានរកឃើញកំណែ Golang នៃ CR4T ដែលមានមុខងារស្រដៀងគ្នា រួមទាំងការប្រតិបត្តិពាក្យបញ្ជាតាមអំពើចិត្ត និងការបង្កើតកិច្ចការដែលបានកំណត់ពេលដោយប្រើបណ្ណាល័យ Go-ole ។

លើសពីនេះទៅទៀត Golang CR4T backdoor អនុវត្តការតស៊ូតាមរយៈការលួចយកវត្ថុ COM និងប្រើប្រាស់ Telegram API សម្រាប់ទំនាក់ទំនង C2 ។ ការលេចឡើងនៃវ៉ារ្យ៉ង់ Golang បង្ហាញថាតួអង្គគំរាមកំហែងដែលមិនស្គាល់អត្តសញ្ញាណនៅពីក្រោយយុទ្ធនាការ DuneQuixote កំពុងកែលម្អយុទ្ធសាស្ត្ររបស់ពួកគេយ៉ាងសកម្មជាមួយនឹងមេរោគឆ្លងវេទិកា។

គំនិតផ្តួចផ្តើម 'DuneQuixote' ផ្តោតលើអង្គភាពនានានៅមជ្ឈិមបូព៌ា ដោយប្រើប្រាស់ឧបករណ៍ចម្រុះដែលមានគោលបំណងបំបាំងកាយ និងការតស៊ូ។ អ្នកវាយប្រហារបង្ហាញសមត្ថភាព និងបច្ចេកទេសនៃការគេចវេសកម្រិតខ្ពស់ដោយការដាក់ពង្រាយឧបករណ៍បញ្ចូលអង្គចងចាំ និងឧបករណ៍ទម្លាក់ដែលក្លែងបន្លំជាកម្មវិធីស្របច្បាប់ ដូចជាការធ្វើត្រាប់តាមកម្មវិធីដំឡើង Total Commander ជាដើម។