Škodlivý softvér CR4T

Vládne inštitúcie na celom Blízkom východe sa stali cieľom tajnej útočnej operácie zameranej na infiltráciu ich systémov pomocou predtým neznámych zadných vrátok známych ako CR4T. Odborníci na kybernetickú bezpečnosť prvýkrát zaznamenali túto aktivitu vo februári 2024, ale dôkazy naznačujú, že sa mohla začať už pred rokom. Operácia je sledovaná ako DuneQuixote. Páchatelia vynaložili veľké úsilie, aby zabránili odhaleniu a preskúmaniu svojich škodlivých implantátov, pričom použili sofistikované únikové techniky vo svojej sieťovej komunikácii aj pri návrhu samotného malvéru.

Počiatočná fáza útočného reťazca DuneQuixote

Útok začína kvapkadlom, dostupným v dvoch variantoch: štandardným kvapkadlom, buď vo forme spustiteľného súboru alebo DLL, a manipulovaným inštalačným súborom pre legitímny nástroj Total Commander. Bez ohľadu na variant zostáva primárny cieľ droppera konzistentný: extrahovať zašifrovanú adresu príkazu a riadenia (C2) s využitím inovatívnej techniky dešifrovania na ochranu adresy servera pred automatizovanými nástrojmi na analýzu škodlivého softvéru.

Táto metóda zahŕňa získanie názvu súboru kvapkadla a jeho zreťazenie s jedným z niekoľkých vopred definovaných úryvkov zo španielskych básní vložených do kódu kvapkadla. Následne malvér vypočíta MD5 hash kombinovaného reťazca, ktorý slúži ako dešifrovací kľúč pre adresu servera C2.

Po dešifrovaní nadviaže dropper spojenie so serverom C2, pokračuje v sťahovaní následného dátového obsahu a zároveň poskytuje pevne zakódované ID ako reťazec User-Agent v požiadavke HTTP.

Prístup k užitočnému zaťaženiu je obmedzený, pokiaľ nie je poskytnutý správny používateľský agent. Okrem toho sa zdá, že užitočné zaťaženie je možné získať iba raz na cieľ alebo na obmedzený čas po nasadení vzorky škodlivého softvéru vo voľnej prírode.

Na rozdiel od toho, trojanizovaný inštalačný program Total Commander vykazuje niekoľko variácií pri zachovaní základnej funkčnosti pôvodného dropperu. Odstraňuje reťazce španielskych básní a zavádza dodatočné antianalytické opatrenia. Tieto kontroly zabraňujú pripojeniu k serveru C2, ak systém deteguje ladiaci alebo monitorovací nástroj, ak kurzor zostane nehybný po určenom čase, ak je dostupná pamäť RAM menšia ako 8 GB alebo ak kapacita disku klesne pod 40 GB.

Malvér CR4T umožňuje útočníkom vykonávať príkazy na infikovaných systémoch

CR4T ('CR4T.pdb') je iba pamäťový implantát napísaný v C/C++. Poskytuje útočníkom prístup ku konzole príkazového riadka na vykonávanie príkazov na napadnutom systéme, vykonávanie operácií so súbormi a prenos súborov na a zo servera C2. Okrem toho výskumníci odhalili verziu Golang CR4T s podobnými funkciami, vrátane vykonávania ľubovoľných príkazov a vytvárania naplánovaných úloh pomocou knižnice Go-ole.

Okrem toho, zadné vrátka Golang CR4T implementuje perzistenciu prostredníctvom únosu objektov COM a využíva rozhranie Telegram API pre komunikáciu C2. Objavenie sa variantu Golang naznačuje, že neidentifikovaní aktéri hrozieb stojaci za kampaňou DuneQuixote aktívne zdokonaľujú svoju taktiku pomocou multiplatformného malvéru.

Iniciatíva „DuneQuixote“ sa zameriava na subjekty na Blízkom východe, pričom využíva rôznorodú škálu nástrojov zameraných na utajenie a vytrvalosť. Útočníci predvádzajú pokročilé únikové schopnosti a techniky nasadením pamäťových implantátov a dropperov maskovaných ako legitímny softvér, napríklad napodobňovaním inštalačného programu Total Commander.