CR4T 악성코드

중동 전역의 정부 기관은 이전에 알려지지 않은 CR4T라는 백도어로 시스템에 침투하기 위한 은밀한 공격 작전의 표적이 되었습니다. 사이버 보안 전문가들은 2024년 2월에 이 활동을 처음 발견했지만, 증거에 따르면 이 활동은 빠르면 1년 전부터 시작되었을 수 있습니다. 해당 작업은 DuneQuixote로 추적되고 있습니다. 가해자들은 네트워크 통신과 악성 코드 자체 설계에 정교한 회피 기술을 사용하여 악성 임플란트의 탐지 및 검사를 방지하기 위해 많은 노력을 기울였습니다.

DuneQuixote 공격 체인의 초기 단계

공격은 실행 파일 또는 DLL 형식의 표준 드로퍼와 합법적인 도구인 Total Commander용으로 조작된 설치 프로그램 파일이라는 두 가지 변형으로 제공되는 드로퍼로 시작됩니다. 변형에 관계없이 드로퍼의 기본 목표는 일관되게 유지됩니다. 즉, 자동화된 악성 코드 분석 도구로부터 서버 주소를 보호하는 혁신적인 암호 해독 기술을 활용하여 암호화된 명령 및 제어(C2) 주소를 추출하는 것입니다.

이 방법에는 드로퍼의 파일 이름을 획득하고 이를 드로퍼의 코드에 포함된 스페인 시에서 미리 정의된 여러 발췌문 중 하나와 연결하는 작업이 포함됩니다. 이후 악성코드는 결합된 문자열의 MD5 해시를 계산하는데, 이는 C2 서버 주소의 암호 해독 키 역할을 합니다.

암호가 해독되면 드로퍼는 C2 서버와의 연결을 설정하고 HTTP 요청에 하드 코딩된 ID를 사용자 에이전트 문자열로 제공하면서 후속 페이로드를 다운로드합니다.

올바른 사용자 에이전트가 제공되지 않으면 페이로드에 대한 액세스가 제한됩니다. 또한 페이로드는 대상당 한 번만 검색할 수 있거나 악성 코드 샘플을 실제 배포한 후 제한된 시간 동안만 검색할 수 있는 것으로 보입니다.

이와 대조적으로 트로이 목마에 감염된 Total Commander 설치 프로그램은 원래 드로퍼의 핵심 기능을 유지하면서 몇 가지 변형을 나타냅니다. 이는 스페인어 시 문자열을 제거하고 추가적인 반분석 조치를 도입합니다. 이러한 검사는 시스템이 디버거 또는 모니터링 도구를 감지하는 경우, 커서가 지정된 기간을 초과하여 정지 상태로 유지되는 경우, 사용 가능한 RAM이 8GB 미만인 경우 또는 디스크 용량이 40GB 미만으로 떨어지는 경우 C2 서버에 대한 연결을 차단합니다.

CR4T 악성코드는 공격자가 감염된 시스템에서 명령을 실행할 수 있도록 허용합니다.

CR4T('CR4T.pdb')는 C/C++로 작성된 메모리 전용 임플란트입니다. 이는 공격자가 손상된 시스템에서 명령을 실행하고, 파일 작업을 수행하고, C2 서버와 파일을 주고받기 위한 명령줄 콘솔에 대한 액세스 권한을 제공합니다. 또한 연구원들은 임의 명령 실행 및 Go-ole 라이브러리를 사용한 예약된 작업 생성을 포함하여 유사한 기능을 갖춘 Golang 버전의 CR4T를 발견했습니다.

또한 Golang CR4T 백도어는 COM 개체 하이재킹을 통해 지속성을 구현하고 C2 통신에 Telegram API를 활용합니다. Golang 변종의 출현은 DuneQuixote 캠페인의 배후에 있는 미확인 위협 행위자가 크로스 플랫폼 악성 코드를 사용하여 적극적으로 전술을 개선하고 있음을 나타냅니다.

'DuneQuixote' 이니셔티브는 은밀함과 지속성을 목표로 하는 다양한 도구를 사용하는 중동 지역의 기업에 중점을 두고 있습니다. 공격자는 Total Commander 설치 프로그램을 모방하는 등 합법적인 소프트웨어로 위장한 메모리 전용 임플란트와 드로퍼를 배포하여 고급 회피 기능과 기술을 선보입니다.