Perisian Hasad CR4T

Institusi kerajaan di seluruh Timur Tengah telah menjadi sasaran operasi serangan tersembunyi yang bertujuan untuk menyusup ke sistem mereka dengan pintu belakang yang sebelum ini tidak diketahui dikenali sebagai CR4T. Pakar keselamatan siber pertama kali menyedari aktiviti ini pada Februari 2024, tetapi bukti menunjukkan bahawa ia mungkin telah bermula seawal setahun sebelumnya. Operasi sedang dikesan sebagai DuneQuixote. Pelaku telah berusaha keras untuk menghalang pengesanan dan pemeriksaan implan berniat jahat mereka, menggunakan teknik pengelakan yang canggih dalam kedua-dua komunikasi rangkaian mereka dan reka bentuk perisian hasad itu sendiri.

Peringkat Awal Rantaian Serangan DuneQuixote

Serangan bermula dengan penitis, tersedia dalam dua variasi: penitis standard, sama ada dalam bentuk boleh laku atau DLL, dan fail pemasang yang dimanipulasi untuk alat yang sah, Total Commander. Tanpa mengira varian, objektif utama penitis kekal konsisten: untuk mengekstrak alamat Perintah-dan-Kawalan (C2) yang disulitkan, menggunakan teknik penyahsulitan yang inovatif untuk melindungi alamat pelayan daripada alat analisis perisian hasad automatik.

Kaedah ini melibatkan memperoleh nama fail penitis dan menggabungkannya dengan salah satu daripada beberapa petikan yang telah ditetapkan daripada puisi Sepanyol yang dibenamkan dalam kod penitis. Selepas itu, perisian hasad mengira cincangan MD5 rentetan gabungan, yang berfungsi sebagai kunci penyahsulitan untuk alamat pelayan C2.

Setelah dinyahsulit, penitis mewujudkan sambungan dengan pelayan C2, meneruskan memuat turun muatan berikutnya sambil memberikan ID berkod keras sebagai rentetan Ejen Pengguna dalam permintaan HTTP.

Akses kepada muatan adalah terhad melainkan ejen pengguna yang betul disediakan. Lebih-lebih lagi, nampaknya muatan hanya boleh diperoleh sekali bagi setiap sasaran atau untuk masa yang terhad berikutan penggunaan sampel perisian hasad di alam liar.

Sebaliknya, pemasang Total Commander yang ditrojan mempamerkan beberapa variasi sambil mengekalkan fungsi teras penitis asal. Ia menghapuskan rentetan puisi Sepanyol dan memperkenalkan langkah anti-analisis tambahan. Pemeriksaan ini menghalang sambungan ke pelayan C2 jika sistem mengesan penyahpepijat atau alat pemantauan, jika kursor kekal pegun melebihi tempoh yang ditetapkan, jika RAM yang tersedia kurang daripada 8 GB, atau jika kapasiti cakera jatuh di bawah 40 GB.

Perisian Hasad CR4T Membenarkan Penyerang Melaksanakan Perintah pada Sistem yang Dijangkiti

CR4T ('CR4T.pdb') ialah implan ingatan sahaja yang ditulis dalam C/C++. Ia memberikan penyerang akses kepada konsol baris perintah untuk melaksanakan arahan pada sistem yang terjejas, melaksanakan operasi fail dan memindahkan fail ke dan dari pelayan C2. Selain itu, penyelidik telah menemui versi CR4T Golang dengan fungsi yang serupa, termasuk pelaksanaan arahan sewenang-wenangnya dan penciptaan tugas berjadual menggunakan perpustakaan Go-ole.

Selain itu, pintu belakang Golang CR4T melaksanakan kegigihan melalui rampasan objek COM dan menggunakan API Telegram untuk komunikasi C2. Kemunculan varian Golang menunjukkan bahawa pelakon ancaman yang tidak dikenali di sebalik kempen DuneQuixote sedang giat memperhalusi taktik mereka dengan perisian hasad merentas platform.

Inisiatif 'DuneQuixote' memfokuskan kepada entiti di Timur Tengah, menggunakan pelbagai alat yang bertujuan untuk bersembunyi dan berterusan. Penyerang mempamerkan keupayaan dan teknik pengelakan lanjutan dengan menggunakan implan dan penitis memori sahaja yang menyamar sebagai perisian yang sah, seperti meniru pemasang Total Commander.