Malware CR4T

Instituțiile guvernamentale din Orientul Mijlociu au devenit ținta unei operațiuni de atac furtiv care vizează infiltrarea sistemelor lor cu o ușă din spate necunoscută anterior, cunoscută sub numele de CR4T. Experții în securitate cibernetică au observat pentru prima dată această activitate în februarie 2024, dar dovezile sugerează că ar fi putut începe cu un an înainte. Operațiunea este urmărită ca DuneQuixote. Făptuitorii au făcut eforturi mari pentru a preveni detectarea și examinarea implanturilor lor rău intenționate, utilizând tehnici sofisticate de evaziune atât în comunicațiile în rețea, cât și în proiectarea malware-ului în sine.

Etapa inițială a lanțului de atac DuneQuijote

Atacul începe cu un dropper, disponibil în două variante: un dropper standard, fie în formă executabilă sau DLL, și un fișier de instalare manipulat pentru instrumentul legitim, Total Commander. Indiferent de variantă, obiectivul principal al dropper-ului rămâne consecvent: să extragă o adresă criptată Command-and-Control (C2), utilizând o tehnică inovatoare de decriptare pentru a proteja adresa serverului de instrumentele automate de analiză a malware-ului.

Această metodă implică obținerea numelui de fișier al dropperului și concatenarea acestuia cu unul dintre câteva fragmente predefinite din poezii spaniole încorporate în codul dropperului. Ulterior, malware-ul calculează hash-ul MD5 al șirului combinat, care servește ca cheie de decriptare pentru adresa serverului C2.

Odată decriptat, dropper-ul stabilește conexiuni cu serverul C2, procedând la descărcarea unei încărcături utile ulterioare în timp ce furnizează un ID codificat ca șir User-Agent în cererea HTTP.

Accesul la sarcina utilă este restricționat dacă nu este furnizat agentul utilizator corect. Mai mult, se pare că sarcina utilă poate fi recuperată doar o dată pe țintă sau pentru o perioadă limitată de timp, după implementarea unui eșantion de malware în sălbăticie.

În schimb, programul de instalare Total Commander troianizat prezintă mai multe variații, menținând în același timp funcționalitatea de bază a dropper-ului original. Elimină șirurile de poezii spaniole și introduce măsuri suplimentare anti-analiza. Aceste verificări împiedică o conexiune la serverul C2 dacă sistemul detectează un instrument de depanare sau de monitorizare, dacă cursorul rămâne staționar peste o durată specificată, dacă RAM disponibilă este mai mică de 8 GB sau dacă capacitatea discului scade sub 40 GB.

Programul malware CR4T permite atacatorilor să execute comenzi pe sistemele infectate

CR4T („CR4T.pdb”) este un implant de memorie scris în C/C++. Oferă atacatorilor acces la o consolă de linie de comandă pentru a executa comenzi pe sistemul compromis, a efectua operațiuni cu fișiere și a transfera fișiere către și de la serverul C2. În plus, cercetătorii au descoperit o versiune Golang a CR4T cu funcționalități similare, inclusiv execuția de comenzi arbitrare și crearea de sarcini programate folosind biblioteca Go-ole.

Mai mult, ușa din spate Golang CR4T implementează persistența prin deturnarea obiectelor COM și utilizează API-ul Telegram pentru comunicațiile C2. Apariția variantei Golang indică faptul că actorii de amenințări neidentificați din spatele campaniei DuneQuixote își perfecționează în mod activ tacticile cu programe malware multiplatforme.

Inițiativa „DuneQuixote” se concentrează asupra entităților din Orientul Mijlociu, utilizând o gamă diversă de instrumente care vizează ascuns și persistență. Atacatorii prezintă capacități și tehnici avansate de evaziune prin desfășurarea de implanturi și dropper-uri doar de memorie deghizate în software legitim, cum ar fi imitarea programului de instalare Total Commander.