CR4T kenkėjiška programa

Artimųjų Rytų vyriausybinės institucijos tapo slaptos atakos operacijos taikiniais, kurių tikslas buvo įsiskverbti į jų sistemas anksčiau nežinomomis užpakalinėmis durimis, žinomomis kaip CR4T. Kibernetinio saugumo ekspertai pirmą kartą šią veiklą pastebėjo 2024 m. vasarį, tačiau turima įrodymų, kad ji galėjo prasidėti dar prieš metus. Operacija stebima kaip DuneQuixote. Nusikaltėliai labai stengėsi užkirsti kelią jų kenkėjiškų implantų aptikimui ir ištyrimui, taikydami sudėtingas vengimo technologijas tiek savo tinklo ryšiui, tiek pačios kenkėjiškos programinės įrangos kūrimui.

Pradinis DuneQuixote puolimo grandinės etapas

Ataka prasideda lašintuvu, kuris yra dviejų variantų: standartinis lašintuvas, vykdomasis arba DLL forma, ir manipuliuojamas diegimo failas, skirtas teisėtam įrankiui Total Commander. Nepriklausomai nuo varianto, pagrindinis lašintuvo tikslas išlieka nuoseklus: išgauti užšifruotą komandų ir valdymo (C2) adresą, naudojant naujovišką iššifravimo techniką, siekiant apsaugoti serverio adresą nuo automatinių kenkėjiškų programų analizės įrankių.

Šis metodas apima lašintuvo failo pavadinimo gavimą ir sujungimą su viena iš kelių iš anksto nustatytų ispaniškų eilėraščių ištraukų, įterptų į lašintuvo kodą. Vėliau kenkėjiška programa apskaičiuoja kombinuotos eilutės MD5 maišą, kuri naudojama kaip C2 serverio adreso iššifravimo raktas.

Kai iššifruotas, lašintuvas užmezga ryšį su C2 serveriu, toliau atsisiunčiant kitą naudingą apkrovą, kartu pateikdamas kieto kodo ID kaip vartotojo agento eilutę HTTP užklausoje.

Prieiga prie naudingos apkrovos yra apribota, nebent būtų pateiktas tinkamas vartotojo agentas. Be to, atrodo, kad naudingą apkrovą galima gauti tik vieną kartą pagal taikinį arba ribotą laiką po kenkėjiškų programų pavyzdžio įdiegimo gamtoje.

Priešingai, trojanizuota Total Commander diegimo programa turi keletą variantų, išlaikant pagrindines pradinio lašintuvo funkcijas. Tai pašalina ispanų eilėraščius ir įveda papildomų antianalizės priemonių. Šios patikros neleidžia prisijungti prie C2 serverio, jei sistema aptinka derintuvą arba stebėjimo įrankį, jei žymeklis lieka nejudantis ilgiau nei nurodyta trukmė, jei turima RAM yra mažesnė nei 8 GB arba disko talpa nukrenta žemiau 40 GB.

CR4T kenkėjiška programa leidžia užpuolikams vykdyti komandas užkrėstose sistemose

CR4T („CR4T.pdb“) yra tik atminties implantas, parašytas C/C++. Tai suteikia užpuolikams prieigą prie komandų eilutės konsolės, kad būtų galima vykdyti komandas pažeistoje sistemoje, atlikti failų operacijas ir perkelti failus į C2 serverį ir iš jo. Be to, mokslininkai atskleidė CR4T Golang versiją su panašiomis funkcijomis, įskaitant savavališkų komandų vykdymą ir suplanuotų užduočių kūrimą naudojant Go-ole biblioteką.

Be to, Golang CR4T užpakalinės durys užtikrina atkaklumą per COM objektų užgrobimą ir naudoja Telegram API C2 ryšiui. „Golang“ varianto atsiradimas rodo, kad nenustatyti „DuneQuixote“ kampanijos grėsmės veikėjai aktyviai tobulina savo taktiką naudodami kelių platformų kenkėjiškas programas.

Iniciatyva „DuneQuixote“ skirta Vidurio Rytų subjektams, naudojant įvairias priemones, skirtas slaptumui ir atkaklumui. Užpuolikai demonstruoja pažangias vengimo galimybes ir metodus, įdiegdami tik atminties turinčius implantus ir lašintuvus, užmaskuotus kaip teisėta programinė įranga, pvz., imituojančią Total Commander diegimo programą.