Zlonamerna programska oprema CR4T

Vladne institucije po Bližnjem vzhodu so postale tarče operacije prikritega napada, katere cilj je infiltracija v njihove sisteme s prej neznanim zadnjim vratom, znanim kot CR4T. Strokovnjaki za kibernetsko varnost so to dejavnost prvič opazili februarja 2024, vendar dokazi kažejo, da bi se lahko začela že eno leto prej. Operacija se spremlja kot DuneQuixote. Storilci so se zelo potrudili, da bi preprečili odkrivanje in pregled svojih zlonamernih vsadkov, pri čemer uporabljajo prefinjene tehnike izogibanja tako v svojih omrežnih komunikacijah kot pri načrtovanju same zlonamerne programske opreme.

Začetna faza verige napadov DuneQuixote

Napad se začne s kapalko, ki je na voljo v dveh različicah: standardna kapalka, bodisi v izvedljivi obliki ali obliki DLL, in spremenjena namestitvena datoteka za legitimno orodje Total Commander. Ne glede na različico ostaja glavni cilj kapalke dosleden: izvleči šifriran naslov za ukazovanje in nadzor (C2) z uporabo inovativne tehnike dešifriranja za zaščito naslova strežnika pred avtomatiziranimi orodji za analizo zlonamerne programske opreme.

Ta metoda vključuje pridobitev imena datoteke kapalke in njegovo združevanje z enim od več vnaprej določenih odlomkov iz španskih pesmi, vdelanih v kodo kapalke. Nato zlonamerna programska oprema izračuna zgoščeno vrednost MD5 kombiniranega niza, ki služi kot ključ za dešifriranje naslova strežnika C2.

Ko je dešifriran, dropper vzpostavi povezave s strežnikom C2 in nadaljuje s prenosom nadaljnjega koristnega tovora, medtem ko posreduje trdo kodiran ID kot niz User-Agent v zahtevi HTTP.

Dostop do koristnega tovora je omejen, razen če je priložen pravi uporabniški agent. Poleg tega se zdi, da je koristno obremenitev mogoče pridobiti samo enkrat na tarčo ali za omejen čas po uvedbi vzorca zlonamerne programske opreme v naravi.

Nasprotno pa ima trojanski namestitveni program Total Commander več različic, hkrati pa ohranja osnovno funkcionalnost prvotnega dropperja. Odpravlja španske pesniške nize in uvaja dodatne ukrepe proti analizi. Ta preverjanja preprečijo povezavo s strežnikom C2, če sistem zazna razhroščevalnik ali orodje za spremljanje, če kazalec ostane nepremični po določenem času, če je razpoložljivi RAM manjši od 8 GB ali če zmogljivost diska pade pod 40 GB.

Zlonamerna programska oprema CR4T napadalcem omogoča izvajanje ukazov v okuženih sistemih

CR4T ('CR4T.pdb') je vsadek samo za pomnilnik, napisan v C/C++. Napadalcem omogoča dostop do konzole ukazne vrstice za izvajanje ukazov v ogroženem sistemu, izvajanje operacij z datotekami in prenos datotek na in iz strežnika C2. Poleg tega so raziskovalci odkrili Golangovo različico CR4T s podobnimi funkcijami, vključno z izvajanjem poljubnih ukazov in ustvarjanjem načrtovanih nalog z uporabo knjižnice Go-ole.

Poleg tega zakulisna vrata Golang CR4T izvajajo obstojnost prek ugrabitve objekta COM in uporabljajo API Telegram za komunikacije C2. Pojav različice Golang kaže, da neznani akterji groženj, ki stojijo za kampanjo DuneQuixote, aktivno izpopolnjujejo svoje taktike z zlonamerno programsko opremo na več platformah.

Pobuda 'DuneQuixote' se osredotoča na subjekte na Bližnjem vzhodu, pri čemer uporablja raznoliko paleto orodij, katerih cilj je prikritost in vztrajnost. Napadalci prikazujejo napredne zmožnosti in tehnike izogibanja z uvedbo samo pomnilniških vsadkov in kapalk, prikritih kot zakonita programska oprema, kot je posnemanje namestitvenega programa Total Commander.