Złośliwe oprogramowanie CR4T

Instytucje rządowe na całym Bliskim Wschodzie stały się celem potajemnego ataku mającego na celu infiltrację ich systemów za pomocą nieznanego wcześniej backdoora znanego jako CR4T. Eksperci ds. cyberbezpieczeństwa po raz pierwszy zauważyli to działanie w lutym 2024 r., ale dowody wskazują, że mogło ono rozpocząć się już rok wcześniej. Operacja jest śledzona jako DuneQuixote. Sprawcy dołożyli wszelkich starań, aby uniemożliwić wykrycie i zbadanie swoich złośliwych implantów, stosując wyrafinowane techniki unikania zagrożeń zarówno w komunikacji sieciowej, jak i w projektowaniu samego szkodliwego oprogramowania.

Początkowy etap łańcucha ataków DuneQuixote

Atak rozpoczyna się od droppera, dostępnego w dwóch odmianach: standardowego droppera w formie pliku wykonywalnego lub biblioteki DLL oraz zmanipulowanego pliku instalacyjnego legalnego narzędzia Total Commander. Niezależnie od wariantu główny cel droppera pozostaje niezmienny: wyodrębnienie zaszyfrowanego adresu dowodzenia i kontroli (C2) przy użyciu innowacyjnej techniki deszyfrowania w celu zabezpieczenia adresu serwera przed automatycznymi narzędziami do analizy złośliwego oprogramowania.

Metoda ta polega na pobraniu nazwy pliku droppera i połączeniu jej z jednym z kilku wcześniej zdefiniowanych fragmentów hiszpańskich wierszy osadzonych w kodzie droppera. Następnie szkodliwe oprogramowanie oblicza skrót MD5 połączonego ciągu, który służy jako klucz deszyfrujący adres serwera C2.

Po odszyfrowaniu dropper nawiązuje połączenie z serwerem C2, kontynuując pobieranie kolejnego ładunku, dostarczając zakodowany na stałe identyfikator jako ciąg User-Agent w żądaniu HTTP.

Dostęp do ładunku jest ograniczony, chyba że zostanie dostarczony właściwy agent użytkownika. Co więcej, wydaje się, że ładunek można odzyskać tylko raz na cel lub przez ograniczony czas po rozmieszczeniu próbki złośliwego oprogramowania w środowisku naturalnym.

Natomiast trojanizowany instalator Total Commander wykazuje kilka różnic, zachowując jednocześnie podstawową funkcjonalność oryginalnego droppera. Eliminuje ciągi wierszy hiszpańskich i wprowadza dodatkowe środki antyanalizacyjne. Kontrole te uniemożliwiają połączenie z serwerem C2, jeśli system wykryje debuger lub narzędzie monitorujące, jeśli kursor pozostaje nieruchomy przez określony czas, jeśli dostępna pamięć RAM jest mniejsza niż 8 GB lub jeśli pojemność dysku spadnie poniżej 40 GB.

Złośliwe oprogramowanie CR4T umożliwia atakującym wykonywanie poleceń na zainfekowanych systemach

CR4T („CR4T.pdb”) to implant obsługujący tylko pamięć napisany w języku C/C++. Zapewnia atakującym dostęp do konsoli wiersza poleceń umożliwiającej wykonywanie poleceń w zaatakowanym systemie, wykonywanie operacji na plikach oraz przesyłanie plików do i z serwera C2. Dodatkowo badacze odkryli wersję CR4T Golang z podobnymi funkcjonalnościami, w tym wykonywaniem dowolnych poleceń i tworzeniem zaplanowanych zadań przy użyciu biblioteki Go-ole.

Co więcej, backdoor Golang CR4T implementuje trwałość poprzez przejmowanie obiektów COM i wykorzystuje interfejs API Telegramu do komunikacji C2. Pojawienie się wariantu Golang wskazuje, że niezidentyfikowani ugrupowania zagrażające stojące za kampanią DuneQuixote aktywnie udoskonalają swoją taktykę przy użyciu wieloplatformowego szkodliwego oprogramowania.

Inicjatywa „DuneQuixote” koncentruje się na podmiotach na Bliskim Wschodzie i wykorzystuje szeroką gamę narzędzi mających na celu ukrycie i trwałość. Napastnicy prezentują zaawansowane możliwości i techniki obchodzenia zabezpieczeń, wdrażając implanty i droppery wykorzystujące wyłącznie pamięć podszywającą się pod legalne oprogramowanie, na przykład imitujące instalator Total Commander.