CR4T ļaunprātīga programmatūra

Valdības iestādes Tuvajos Austrumos ir kļuvušas par slēptu uzbrukumu mērķiem, kuru mērķis ir iefiltrēties to sistēmās ar iepriekš nezināmu aizmugures durvīm, kas pazīstamas kā CR4T. Kiberdrošības eksperti pirmo reizi pamanīja šo darbību 2024. gada februārī, taču pierādījumi liecina, ka tā varētu būt sākusies jau gadu iepriekš. Operācija tiek izsekota kā DuneQuixote. Noziedznieki ir darījuši visu iespējamo, lai novērstu savu ļaunprātīgo implantu atklāšanu un pārbaudi, izmantojot sarežģītas izvairīšanās metodes gan tīkla saziņā, gan pašas ļaunprātīgās programmatūras dizainā.

DuneQuixote uzbrukuma ķēdes sākuma stadija

Uzbrukums sākas ar pilinātāju, kas pieejams divās variācijās: standarta pilinātājs izpildāmā vai DLL formātā un manipulēts instalēšanas fails likumīgajam rīkam Total Commander. Neatkarīgi no varianta pilinātāja galvenais mērķis paliek nemainīgs: iegūt šifrētu Command-and-Control (C2) adresi, izmantojot novatorisku atšifrēšanas paņēmienu, lai aizsargātu servera adresi no automatizētiem ļaunprātīgas programmatūras analīzes rīkiem.

Šī metode ietver pilinātāja faila nosaukuma iegūšanu un savienošanu ar vienu no vairākiem iepriekš definētiem spāņu dzejoļu fragmentiem, kas iegulti pilinātāja kodā. Pēc tam ļaunprogrammatūra aprēķina kombinētās virknes MD5 jaucējkodu, kas kalpo kā C2 servera adreses atšifrēšanas atslēga.

Kad tas ir atšifrēts, pilinātājs izveido savienojumus ar C2 serveri, turpinot lejupielādēt nākamo lietderīgo slodzi, vienlaikus nodrošinot kodētu ID kā lietotāja aģenta virkni HTTP pieprasījumā.

Piekļuve kravai ir ierobežota, ja vien nav nodrošināts pareizais lietotāja aģents. Turklāt šķiet, ka lietderīgo slodzi var izgūt tikai vienu reizi vienam mērķim vai ierobežotu laiku pēc ļaunprātīgas programmatūras parauga izvietošanas savvaļā.

Turpretim trojanizētajam Total Commander instalēšanas programmai ir vairākas atšķirības, vienlaikus saglabājot sākotnējās pilinātāja pamatfunkcionalitāti. Tas novērš spāņu dzejoļu virknes un ievieš papildu pretanalīzes pasākumus. Šīs pārbaudes neļauj izveidot savienojumu ar C2 serveri, ja sistēma nosaka atkļūdotāju vai uzraudzības rīku, ja kursors paliek nekustīgs ilgāk par noteiktu laiku, ja pieejamā RAM ir mazāka par 8 GB vai ja diska ietilpība ir mazāka par 40 GB.

CR4T ļaunprogrammatūra ļauj uzbrucējiem izpildīt komandas inficētajās sistēmās

CR4T ('CR4T.pdb') ir tikai atmiņas implants, kas rakstīts C/C++ valodā. Tas nodrošina uzbrucējiem piekļuvi komandrindas konsolei, lai izpildītu komandas apdraudētajā sistēmā, veiktu failu darbības un pārsūtītu failus uz C2 serveri un no tā. Turklāt pētnieki ir atklājuši CR4T Golang versiju ar līdzīgām funkcijām, tostarp patvaļīgu komandu izpildi un ieplānotu uzdevumu izveidi, izmantojot Go-ole bibliotēku.

Turklāt Golang CR4T aizmugures durvis nodrošina noturību, izmantojot COM objektu nolaupīšanu, un izmanto Telegram API C2 sakariem. Golang varianta parādīšanās norāda, ka neidentificētie draudu dalībnieki, kas atrodas aiz DuneQuixote kampaņas, aktīvi pilnveido savu taktiku, izmantojot starpplatformu ļaunprātīgu programmatūru.

Iniciatīva “DuneQuixote” ir vērsta uz vienībām Tuvajos Austrumos, izmantojot dažādus rīkus, kuru mērķis ir slepenība un neatlaidība. Uzbrucēji demonstrē uzlabotas izvairīšanās iespējas un paņēmienus, izvietojot tikai atmiņai paredzētus implantus un pilinātājus, kas maskēti kā likumīga programmatūra, piemēram, imitējot Total Commander instalēšanas programmu.