CR4T मालवेयर

मध्य पूर्वका सरकारी संस्थाहरू CR4T भनेर चिनिने पहिलेको अज्ञात ब्याकडोरको साथ तिनीहरूको प्रणालीमा घुसपैठ गर्ने उद्देश्यले लुकेको आक्रमण अपरेशनको लक्ष्य बनेका छन्। साइबरसुरक्षा विशेषज्ञहरूले यो गतिविधि फेब्रुअरी 2024 मा पहिलो पटक याद गरे, तर प्रमाणहरूले सुझाव दिन्छ कि यो एक वर्ष पहिले नै सुरु भएको हुन सक्छ। अपरेशन DuneQuixote को रूपमा ट्र्याक गरिएको छ। अपराधीहरूले उनीहरूको दुर्भावनापूर्ण प्रत्यारोपणको पहिचान र परीक्षण रोक्नको लागि ठूलो हदसम्म गएका छन्, तिनीहरूको नेटवर्क सञ्चार र मालवेयरको डिजाइन दुवैमा परिष्कृत चोरी प्रविधिहरू प्रयोग गर्दै।

DuneQuixote आक्रमण श्रृंखला को प्रारम्भिक चरण

आक्रमण ड्रपरबाट सुरु हुन्छ, दुई भिन्नताहरूमा उपलब्ध छ: एक मानक ड्रपर, या त कार्यान्वयनयोग्य वा DLL फारममा, र वैध उपकरणको लागि हेरफेर गरिएको स्थापनाकर्ता फाइल, कुल कमाण्डर। भेरियन्ट जस्तोसुकै भए पनि, ड्रपरको प्राथमिक उद्देश्य एकरूप रहन्छ: एन्क्रिप्टेड कमाण्ड-एन्ड-कन्ट्रोल (C2) ठेगाना निकाल्न, स्वचालित मालवेयर विश्लेषण उपकरणहरूबाट सर्भर ठेगाना सुरक्षित गर्न अभिनव डिक्रिप्शन प्रविधि प्रयोग गर्दै।

यो विधिले ड्रपरको फाइलनाम प्राप्त गर्न र ड्रपरको कोड भित्र इम्बेड गरिएका स्पेनी कविताहरूबाट धेरै पूर्व-परिभाषित अंशहरू मध्ये एकसँग जोड्ने समावेश गर्दछ। पछि, मालवेयरले संयुक्त स्ट्रिङको MD5 ह्यास गणना गर्छ, जसले C2 सर्भर ठेगानाको लागि डिक्रिप्शन कुञ्जीको रूपमा कार्य गर्दछ।

एक पटक डिक्रिप्ट भएपछि, ड्रपरले C2 सर्भरसँग जडानहरू स्थापना गर्दछ, HTTP अनुरोधमा प्रयोगकर्ता-एजेन्ट स्ट्रिङको रूपमा हार्ड-कोड गरिएको ID प्रस्तुत गर्दा अर्को पेलोड डाउनलोड गर्न अगाडि बढ्छ।

सही प्रयोगकर्ता एजेन्ट प्रस्तुत नभएसम्म पेलोडमा पहुँच प्रतिबन्धित छ। यसबाहेक, यस्तो देखिन्छ कि पेलोड प्रति लक्ष्य एक पटक मात्र वा जंगली मा मालवेयर नमूना को तैनाती पछि सीमित समय को लागी पुन: प्राप्त गर्न सकिन्छ।

यसको विपरित, ट्रोजनाइज्ड कुल कमाण्डर स्थापनाकर्ताले मूल ड्रपरको मुख्य कार्यक्षमता कायम राख्दा धेरै भिन्नताहरू प्रदर्शन गर्दछ। यसले स्पेनी कविता स्ट्रिङहरू हटाउँछ र थप विरोधी-विश्लेषण उपायहरू परिचय गराउँछ। यी जाँचहरूले C2 सर्भरमा जडानलाई रोक्छ यदि प्रणालीले डिबगर वा अनुगमन उपकरण पत्ता लगाउँछ, यदि कर्सर निर्दिष्ट अवधिभन्दा बाहिर स्थिर रहन्छ, यदि उपलब्ध RAM 8 GB भन्दा कम छ भने, वा यदि डिस्क क्षमता 40 GB भन्दा कम हुन्छ।

CR4T मालवेयरले आक्रमणकारीहरूलाई संक्रमित प्रणालीहरूमा आदेशहरू कार्यान्वयन गर्न अनुमति दिन्छ।

CR4T ('CR4T.pdb') C/C++ मा लेखिएको मेमोरी-मात्र प्रत्यारोपण हो। यसले आक्रमणकारीहरूलाई कमाण्ड-लाइन कन्सोलमा पहुँच प्रदान गर्दछ सम्झौता गरिएको प्रणालीमा आदेशहरू कार्यान्वयन गर्न, फाइल सञ्चालनहरू प्रदर्शन गर्न, र C2 सर्भरमा र फाइलहरू स्थानान्तरण गर्न। थप रूपमा, अन्वेषकहरूले CR4T को समान प्रकार्यताहरू सहितको गोलाङ संस्करण पत्ता लगाएका छन्, जसमा स्वेच्छाचारी आदेशहरूको कार्यान्वयन र Go-ole पुस्तकालय प्रयोग गरेर निर्धारित कार्यहरूको सिर्जना समावेश छ।

यसबाहेक, Golang CR4T ब्याकडोरले COM वस्तु अपहरण मार्फत दृढता लागू गर्दछ र C2 संचारको लागि टेलिग्राम API प्रयोग गर्दछ। Golang भेरियन्टको उदयले संकेत गर्दछ कि DuneQuixote अभियान पछि अज्ञात खतरा अभिनेताहरूले क्रस-प्लेटफर्म मालवेयरको साथ सक्रिय रूपमा आफ्नो रणनीतिहरू परिष्कृत गरिरहेका छन्।

'DuneQuixote' पहलले मध्य पूर्वका संस्थाहरूमा फोकस गर्छ, विभिन्न प्रकारका उपकरणहरू प्रयोग गर्दै चोरी र दृढताका लागि। आक्रमणकारीहरूले मेमोरी-मात्र इम्प्लान्टहरू र ड्रपरहरूलाई वैध सफ्टवेयरको रूपमा भेषमा प्रयोग गरेर उन्नत चोरी क्षमताहरू र प्रविधिहरू प्रदर्शन गर्छन्, जस्तै कुल कमाण्डर स्थापनाकर्ताको नक्कल गर्दै।