CR4T ਮਾਲਵੇਅਰ

ਮੱਧ ਪੂਰਬ ਦੇ ਸਰਕਾਰੀ ਅਦਾਰੇ ਇੱਕ ਗੁਪਤ ਹਮਲੇ ਦੀ ਕਾਰਵਾਈ ਦਾ ਨਿਸ਼ਾਨਾ ਬਣ ਗਏ ਹਨ ਜਿਸਦਾ ਉਦੇਸ਼ CR4T ਵਜੋਂ ਜਾਣੇ ਜਾਂਦੇ ਇੱਕ ਅਣਜਾਣ ਬੈਕਡੋਰ ਨਾਲ ਉਹਨਾਂ ਦੇ ਸਿਸਟਮਾਂ ਵਿੱਚ ਘੁਸਪੈਠ ਕਰਨਾ ਹੈ। ਸਾਈਬਰ ਸੁਰੱਖਿਆ ਮਾਹਿਰਾਂ ਨੇ ਪਹਿਲੀ ਵਾਰ ਫਰਵਰੀ 2024 ਵਿੱਚ ਇਸ ਗਤੀਵਿਧੀ ਨੂੰ ਦੇਖਿਆ, ਪਰ ਸਬੂਤਾਂ ਤੋਂ ਪਤਾ ਲੱਗਦਾ ਹੈ ਕਿ ਇਹ ਇੱਕ ਸਾਲ ਪਹਿਲਾਂ ਸ਼ੁਰੂ ਹੋ ਸਕਦਾ ਸੀ। ਓਪਰੇਸ਼ਨ ਨੂੰ DuneQuixote ਵਜੋਂ ਟਰੈਕ ਕੀਤਾ ਜਾ ਰਿਹਾ ਹੈ। ਅਪਰਾਧੀਆਂ ਨੇ ਆਪਣੇ ਖਤਰਨਾਕ ਇਮਪਲਾਂਟ ਦਾ ਪਤਾ ਲਗਾਉਣ ਅਤੇ ਜਾਂਚ ਕਰਨ ਤੋਂ ਰੋਕਣ ਲਈ ਬਹੁਤ ਕੋਸ਼ਿਸ਼ ਕੀਤੀ ਹੈ, ਉਹਨਾਂ ਦੇ ਨੈਟਵਰਕ ਸੰਚਾਰਾਂ ਅਤੇ ਮਾਲਵੇਅਰ ਦੇ ਡਿਜ਼ਾਈਨ ਦੋਵਾਂ ਵਿੱਚ ਵਧੀਆ ਚੋਰੀ ਤਕਨੀਕਾਂ ਦੀ ਵਰਤੋਂ ਕੀਤੀ ਹੈ।

DuneQuixote ਹਮਲੇ ਦੀ ਲੜੀ ਦਾ ਸ਼ੁਰੂਆਤੀ ਪੜਾਅ

ਹਮਲਾ ਇੱਕ ਡਰਾਪਰ ਨਾਲ ਸ਼ੁਰੂ ਹੁੰਦਾ ਹੈ, ਜੋ ਦੋ ਰੂਪਾਂ ਵਿੱਚ ਉਪਲਬਧ ਹੈ: ਇੱਕ ਸਟੈਂਡਰਡ ਡਰਾਪਰ, ਜਾਂ ਤਾਂ ਐਗਜ਼ੀਕਿਊਟੇਬਲ ਜਾਂ DLL ਰੂਪ ਵਿੱਚ, ਅਤੇ ਜਾਇਜ਼ ਟੂਲ, ਟੋਟਲ ਕਮਾਂਡਰ ਲਈ ਇੱਕ ਹੇਰਾਫੇਰੀ ਇੰਸਟਾਲਰ ਫਾਈਲ। ਵੇਰੀਐਂਟ ਦੀ ਪਰਵਾਹ ਕੀਤੇ ਬਿਨਾਂ, ਡਰਾਪਰ ਦਾ ਮੁੱਖ ਉਦੇਸ਼ ਇਕਸਾਰ ਰਹਿੰਦਾ ਹੈ: ਇੱਕ ਏਨਕ੍ਰਿਪਟਡ ਕਮਾਂਡ-ਐਂਡ-ਕੰਟਰੋਲ (C2) ਐਡਰੈੱਸ ਨੂੰ ਐਕਸਟਰੈਕਟ ਕਰਨਾ, ਸਵੈਚਲਿਤ ਮਾਲਵੇਅਰ ਵਿਸ਼ਲੇਸ਼ਣ ਟੂਲਸ ਤੋਂ ਸਰਵਰ ਪਤੇ ਦੀ ਸੁਰੱਖਿਆ ਲਈ ਇੱਕ ਨਵੀਨਤਾਕਾਰੀ ਡੀਕ੍ਰਿਪਸ਼ਨ ਤਕਨੀਕ ਦੀ ਵਰਤੋਂ ਕਰਨਾ।

ਇਸ ਵਿਧੀ ਵਿੱਚ ਡਰਾਪਰ ਦੇ ਫਾਈਲ ਨਾਮ ਨੂੰ ਪ੍ਰਾਪਤ ਕਰਨਾ ਅਤੇ ਇਸਨੂੰ ਡਰਾਪਰ ਦੇ ਕੋਡ ਵਿੱਚ ਸ਼ਾਮਲ ਸਪੈਨਿਸ਼ ਕਵਿਤਾਵਾਂ ਦੇ ਕਈ ਪੂਰਵ-ਪ੍ਰਭਾਸ਼ਿਤ ਅੰਸ਼ਾਂ ਵਿੱਚੋਂ ਇੱਕ ਨਾਲ ਜੋੜਨਾ ਸ਼ਾਮਲ ਹੈ। ਇਸ ਤੋਂ ਬਾਅਦ, ਮਾਲਵੇਅਰ ਸੰਯੁਕਤ ਸਟ੍ਰਿੰਗ ਦੇ MD5 ਹੈਸ਼ ਦੀ ਗਣਨਾ ਕਰਦਾ ਹੈ, ਜੋ C2 ਸਰਵਰ ਐਡਰੈੱਸ ਲਈ ਡੀਕ੍ਰਿਪਸ਼ਨ ਕੁੰਜੀ ਵਜੋਂ ਕੰਮ ਕਰਦਾ ਹੈ।

ਇੱਕ ਵਾਰ ਡੀਕ੍ਰਿਪਟ ਹੋ ਜਾਣ 'ਤੇ, ਡਰਾਪਰ C2 ਸਰਵਰ ਨਾਲ ਕਨੈਕਸ਼ਨ ਸਥਾਪਤ ਕਰਦਾ ਹੈ, HTTP ਬੇਨਤੀ ਵਿੱਚ ਉਪਭੋਗਤਾ-ਏਜੰਟ ਸਤਰ ਦੇ ਰੂਪ ਵਿੱਚ ਇੱਕ ਹਾਰਡ-ਕੋਡਿਡ ID ਪ੍ਰਦਾਨ ਕਰਦੇ ਹੋਏ ਇੱਕ ਅਗਲੇ ਪੇਲੋਡ ਨੂੰ ਡਾਊਨਲੋਡ ਕਰਨ ਲਈ ਅੱਗੇ ਵਧਦਾ ਹੈ।

ਪੇਲੋਡ ਤੱਕ ਪਹੁੰਚ ਪ੍ਰਤਿਬੰਧਿਤ ਹੈ ਜਦੋਂ ਤੱਕ ਸਹੀ ਉਪਭੋਗਤਾ ਏਜੰਟ ਪੇਸ਼ ਨਹੀਂ ਕੀਤਾ ਜਾਂਦਾ ਹੈ। ਇਸ ਤੋਂ ਇਲਾਵਾ, ਇਹ ਪ੍ਰਤੀਤ ਹੁੰਦਾ ਹੈ ਕਿ ਪੇਲੋਡ ਸਿਰਫ ਇੱਕ ਵਾਰ ਪ੍ਰਤੀ ਟੀਚਾ ਜਾਂ ਜੰਗਲੀ ਵਿੱਚ ਮਾਲਵੇਅਰ ਨਮੂਨੇ ਦੀ ਤੈਨਾਤੀ ਤੋਂ ਬਾਅਦ ਸੀਮਤ ਸਮੇਂ ਲਈ ਪ੍ਰਾਪਤ ਕੀਤਾ ਜਾ ਸਕਦਾ ਹੈ।

ਇਸਦੇ ਉਲਟ, ਟਰੋਜਨਾਈਜ਼ਡ ਟੋਟਲ ਕਮਾਂਡਰ ਇੰਸਟੌਲਰ ਮੂਲ ਡਰਾਪਰ ਦੀ ਮੁੱਖ ਕਾਰਜਸ਼ੀਲਤਾ ਨੂੰ ਕਾਇਮ ਰੱਖਦੇ ਹੋਏ ਕਈ ਰੂਪਾਂ ਨੂੰ ਪ੍ਰਦਰਸ਼ਿਤ ਕਰਦਾ ਹੈ। ਇਹ ਸਪੈਨਿਸ਼ ਕਵਿਤਾ ਦੀਆਂ ਸਤਰਾਂ ਨੂੰ ਖਤਮ ਕਰਦਾ ਹੈ ਅਤੇ ਵਾਧੂ ਵਿਸ਼ਲੇਸ਼ਣ ਵਿਰੋਧੀ ਉਪਾਅ ਪੇਸ਼ ਕਰਦਾ ਹੈ। ਇਹ ਜਾਂਚ C2 ਸਰਵਰ ਨਾਲ ਇੱਕ ਕਨੈਕਸ਼ਨ ਨੂੰ ਰੋਕਦੀ ਹੈ ਜੇਕਰ ਸਿਸਟਮ ਇੱਕ ਡੀਬਗਰ ਜਾਂ ਮਾਨੀਟਰਿੰਗ ਟੂਲ ਦਾ ਪਤਾ ਲਗਾਉਂਦਾ ਹੈ, ਜੇਕਰ ਕਰਸਰ ਇੱਕ ਨਿਸ਼ਚਿਤ ਮਿਆਦ ਤੋਂ ਬਾਅਦ ਸਥਿਰ ਰਹਿੰਦਾ ਹੈ, ਜੇਕਰ ਉਪਲਬਧ RAM 8 GB ਤੋਂ ਘੱਟ ਹੈ, ਜਾਂ ਜੇਕਰ ਡਿਸਕ ਸਮਰੱਥਾ 40 GB ਤੋਂ ਘੱਟ ਹੈ।

CR4T ਮਾਲਵੇਅਰ ਹਮਲਾਵਰਾਂ ਨੂੰ ਸੰਕਰਮਿਤ ਸਿਸਟਮਾਂ 'ਤੇ ਕਮਾਂਡਾਂ ਚਲਾਉਣ ਦੀ ਆਗਿਆ ਦਿੰਦਾ ਹੈ

CR4T ('CR4T.pdb') C/C++ ਵਿੱਚ ਲਿਖਿਆ ਇੱਕ ਮੈਮੋਰੀ-ਓਨਲੀ ਇਮਪਲਾਂਟ ਹੈ। ਇਹ ਹਮਲਾਵਰਾਂ ਨੂੰ ਸਮਝੌਤਾ ਕੀਤੇ ਸਿਸਟਮ 'ਤੇ ਕਮਾਂਡਾਂ ਨੂੰ ਚਲਾਉਣ, ਫਾਈਲ ਓਪਰੇਸ਼ਨ ਕਰਨ, ਅਤੇ C2 ਸਰਵਰ ਤੋਂ ਅਤੇ ਫਾਈਲਾਂ ਨੂੰ ਟ੍ਰਾਂਸਫਰ ਕਰਨ ਲਈ ਕਮਾਂਡ-ਲਾਈਨ ਕੰਸੋਲ ਤੱਕ ਪਹੁੰਚ ਪ੍ਰਦਾਨ ਕਰਦਾ ਹੈ। ਇਸ ਤੋਂ ਇਲਾਵਾ, ਖੋਜਕਰਤਾਵਾਂ ਨੇ ਸਮਾਨ ਕਾਰਜਸ਼ੀਲਤਾਵਾਂ ਦੇ ਨਾਲ CR4T ਦੇ ਇੱਕ ਗੋਲੰਗ ਸੰਸਕਰਣ ਦਾ ਪਰਦਾਫਾਸ਼ ਕੀਤਾ ਹੈ, ਜਿਸ ਵਿੱਚ ਆਪਹੁਦਰੇ ਹੁਕਮਾਂ ਨੂੰ ਲਾਗੂ ਕਰਨਾ ਅਤੇ Go-ole ਲਾਇਬ੍ਰੇਰੀ ਦੀ ਵਰਤੋਂ ਕਰਦੇ ਹੋਏ ਅਨੁਸੂਚਿਤ ਕਾਰਜਾਂ ਦੀ ਰਚਨਾ ਸ਼ਾਮਲ ਹੈ।

ਇਸ ਤੋਂ ਇਲਾਵਾ, ਗੋਲੰਗ CR4T ਬੈਕਡੋਰ COM ਆਬਜੈਕਟ ਹਾਈਜੈਕਿੰਗ ਦੁਆਰਾ ਸਥਿਰਤਾ ਨੂੰ ਲਾਗੂ ਕਰਦਾ ਹੈ ਅਤੇ C2 ਸੰਚਾਰਾਂ ਲਈ ਟੈਲੀਗ੍ਰਾਮ API ਦੀ ਵਰਤੋਂ ਕਰਦਾ ਹੈ। ਗੋਲੰਗ ਵੇਰੀਐਂਟ ਦਾ ਉਭਰਨਾ ਇਹ ਦਰਸਾਉਂਦਾ ਹੈ ਕਿ DuneQuixote ਮੁਹਿੰਮ ਦੇ ਪਿੱਛੇ ਅਣਪਛਾਤੇ ਖਤਰੇ ਵਾਲੇ ਅਦਾਕਾਰ ਕਰਾਸ-ਪਲੇਟਫਾਰਮ ਮਾਲਵੇਅਰ ਨਾਲ ਸਰਗਰਮੀ ਨਾਲ ਆਪਣੀਆਂ ਰਣਨੀਤੀਆਂ ਨੂੰ ਸੁਧਾਰ ਰਹੇ ਹਨ।

'DuneQuixote' ਪਹਿਲਕਦਮੀ ਮੱਧ ਪੂਰਬ ਦੀਆਂ ਇਕਾਈਆਂ 'ਤੇ ਕੇਂਦ੍ਰਤ ਹੈ, ਜੋ ਕਿ ਸਟੀਲਥ ਅਤੇ ਦ੍ਰਿੜਤਾ ਦੇ ਉਦੇਸ਼ ਨਾਲ ਵਿਭਿੰਨ ਸੰਦਾਂ ਦੀ ਵਰਤੋਂ ਕਰਦੀ ਹੈ। ਹਮਲਾਵਰ ਸਿਰਫ਼ ਮੈਮੋਰੀ ਇਮਪਲਾਂਟ ਅਤੇ ਡਰਾਪਰਾਂ ਨੂੰ ਜਾਇਜ਼ ਸੌਫਟਵੇਅਰ ਦੇ ਰੂਪ ਵਿੱਚ ਭੇਸ ਵਿੱਚ ਲਗਾ ਕੇ ਉੱਨਤ ਚੋਰੀ ਸਮਰੱਥਾਵਾਂ ਅਤੇ ਤਕਨੀਕਾਂ ਦਾ ਪ੍ਰਦਰਸ਼ਨ ਕਰਦੇ ਹਨ, ਜਿਵੇਂ ਕਿ ਕੁੱਲ ਕਮਾਂਡਰ ਇੰਸਟਾਲਰ ਦੀ ਨਕਲ ਕਰਨਾ।