CR4T skadelig programvare

Regjeringsinstitusjoner over hele Midtøsten har blitt mål for en snikende angrepsoperasjon rettet mot å infiltrere systemene deres med en tidligere ukjent bakdør kjent som CR4T. Eksperter på nettsikkerhet la først merke til denne aktiviteten i februar 2024, men bevis tyder på at den kunne ha startet så tidlig som et år før. Operasjonen spores som DuneQuixote. Gjerningsmennene har gått langt for å forhindre oppdagelse og undersøkelse av deres ondsinnede implantater, ved å bruke sofistikerte unnvikelsesteknikker både i nettverkskommunikasjonen og utformingen av selve skadevaren.

Den innledende fasen av DuneQuixote-angrepskjeden

Angrepet begynner med en dropper, tilgjengelig i to varianter: en standard dropper, enten i kjørbar eller DLL-form, og en manipulert installasjonsfil for det legitime verktøyet, Total Commander. Uavhengig av varianten, forblir hovedmålet med dropperen konsekvent: å trekke ut en kryptert Command-and-Control-adresse (C2), ved å bruke en innovativ dekrypteringsteknikk for å beskytte serveradressen fra automatiserte analyseverktøy for skadelig programvare.

Denne metoden innebærer å anskaffe filnavnet til dropperen og sette det sammen med ett av flere forhåndsdefinerte utdrag fra spanske dikt innebygd i dropperens kode. Deretter beregner skadevaren MD5-hashen til den kombinerte strengen, som fungerer som dekrypteringsnøkkelen for C2-serveradressen.

Når den er dekryptert, etablerer dropperen forbindelser med C2-serveren, fortsetter å laste ned en påfølgende nyttelast mens den oppgir en hardkodet ID som User-Agent-strengen i HTTP-forespørselen.

Tilgang til nyttelasten er begrenset med mindre riktig brukeragent er levert. Dessuten ser det ut til at nyttelasten bare kan gjenfinnes én gang per mål eller i en begrenset periode etter utplasseringen av en skadelig programvareprøve i naturen.

Derimot viser det trojaniserte Total Commander-installasjonsprogrammet flere varianser samtidig som den opprettholder kjernefunksjonaliteten til den originale dropperen. Den eliminerer de spanske diktstrengene og introduserer ytterligere antianalysetiltak. Disse sjekkene forhindrer en tilkobling til C2-serveren hvis systemet oppdager en feilsøkings- eller overvåkingsverktøy, hvis markøren forblir stasjonær utover en spesifisert varighet, hvis tilgjengelig RAM er mindre enn 8 GB, eller hvis diskkapasiteten faller under 40 GB.

CR4T Malware lar angripere utføre kommandoer på de infiserte systemene

CR4T ('CR4T.pdb') er et implantat med kun minne skrevet i C/C++. Det gir angripere tilgang til en kommandolinjekonsoll for å utføre kommandoer på det kompromitterte systemet, utføre filoperasjoner og overføre filer til og fra C2-serveren. I tillegg har forskere avdekket en Golang-versjon av CR4T med lignende funksjoner, inkludert utførelse av vilkårlige kommandoer og opprettelse av planlagte oppgaver ved hjelp av Go-ole-biblioteket.

Dessuten implementerer Golang CR4T-bakdøren utholdenhet gjennom COM-objektkapring og bruker Telegram API for C2-kommunikasjon. Fremveksten av Golang-varianten indikerer at de uidentifiserte trusselaktørene bak DuneQuixote-kampanjen aktivt raffinerer taktikken sin med malware på tvers av plattformer.

'DuneQuixote'-initiativet fokuserer på enheter i Midtøsten, og bruker et mangfold av verktøy rettet mot sniking og utholdenhet. Angriperne viser frem avanserte unnvikelsesevner og -teknikker ved å distribuere kun minneimplantater og droppere forkledd som legitim programvare, for eksempel å etterligne Total Commander-installasjonsprogrammet.