CR4T-malware
Overheidsinstellingen in het hele Midden-Oosten zijn het doelwit geworden van een sluipende aanvalsoperatie gericht op het infiltreren van hun systemen met een voorheen onbekende achterdeur, bekend als CR4T. Cybersecurity-experts merkten deze activiteit voor het eerst op in februari 2024, maar er zijn aanwijzingen dat deze al een jaar eerder had kunnen beginnen. De operatie wordt gevolgd als DuneQuixote. De daders hebben zich tot het uiterste ingespannen om de detectie en het onderzoek van hun kwaadaardige implantaten te voorkomen, waarbij ze gebruik hebben gemaakt van geavanceerde ontwijkingstechnieken in zowel hun netwerkcommunicatie als het ontwerp van de malware zelf.
De beginfase van de DuneQuixote-aanvalsketen
De aanval begint met een dropper, beschikbaar in twee varianten: een standaard dropper, in uitvoerbare vorm of in DLL-vorm, en een gemanipuleerd installatiebestand voor de legitieme tool Total Commander. Ongeacht de variant blijft het primaire doel van de dropper consistent: het extraheren van een gecodeerd Command-and-Control (C2)-adres, met behulp van een innovatieve decoderingstechniek om het serveradres te beschermen tegen geautomatiseerde malware-analysetools.
Deze methode omvat het verkrijgen van de bestandsnaam van de dropper en deze samenvoegen met een van de verschillende vooraf gedefinieerde fragmenten uit Spaanse gedichten die zijn ingebed in de code van de dropper. Vervolgens berekent de malware de MD5-hash van de gecombineerde string, die dient als decoderingssleutel voor het C2-serveradres.
Eenmaal gedecodeerd, brengt de dropper verbindingen tot stand met de C2-server en gaat vervolgens verder met het downloaden van een volgende payload, terwijl hij een hardgecodeerde ID levert als de User-Agent-string in het HTTP-verzoek.
De toegang tot de payload is beperkt, tenzij de juiste user-agent wordt geleverd. Bovendien lijkt het erop dat de payload mogelijk slechts één keer per doelwit of gedurende een beperkte tijd kan worden opgehaald na de inzet van een malwaremonster in het wild.
Daarentegen vertoont het door een trojan gehackte Total Commander-installatieprogramma verschillende afwijkingen, terwijl de kernfunctionaliteit van de oorspronkelijke dropper behouden blijft. Het elimineert de Spaanse gedichtreeksen en introduceert aanvullende anti-analysemaatregelen. Deze controles voorkomen dat er verbinding wordt gemaakt met de C2-server als het systeem een debugger- of monitoringtool detecteert, als de cursor langer dan een bepaalde tijd stil blijft staan, als het beschikbare RAM-geheugen minder is dan 8 GB of als de schijfcapaciteit onder de 40 GB daalt.
Met de CR4T-malware kunnen aanvallers opdrachten uitvoeren op de geïnfecteerde systemen
CR4T ('CR4T.pdb') is een implantaat met alleen geheugen, geschreven in C/C++. Het biedt aanvallers toegang tot een opdrachtregelconsole voor het uitvoeren van opdrachten op het aangetaste systeem, het uitvoeren van bestandsbewerkingen en het overbrengen van bestanden van en naar de C2-server. Bovendien hebben onderzoekers een Golang-versie van CR4T ontdekt met vergelijkbare functionaliteiten, waaronder de uitvoering van willekeurige opdrachten en het maken van geplande taken met behulp van de Go-ole-bibliotheek.
Bovendien implementeert de Golang CR4T-achterdeur persistentie via het kapen van COM-objecten en maakt gebruik van de Telegram API voor C2-communicatie. De opkomst van de Golang-variant geeft aan dat de onbekende dreigingsactoren achter de DuneQuixote-campagne actief hun tactieken verfijnen met platformonafhankelijke malware.
Het 'DuneQuixote'-initiatief richt zich op entiteiten in het Midden-Oosten en maakt gebruik van een breed scala aan instrumenten gericht op stealth en doorzettingsvermogen. De aanvallers demonstreren geavanceerde ontwijkingsmogelijkheden en -technieken door implantaten en droppers met alleen geheugen in te zetten, vermomd als legitieme software, zoals het nabootsen van het Total Commander-installatieprogramma.
