CR4T Malware

Institucionet qeveritare në të gjithë Lindjen e Mesme janë bërë objektiva të një operacioni sulmi të fshehtë që synon të depërtojë në sistemet e tyre me një prapavijë të panjohur më parë të njohur si CR4T. Ekspertët e sigurisë kibernetike e vunë re për herë të parë këtë aktivitet në shkurt 2024, por provat sugjerojnë se ai mund të kishte filluar qysh një vit më parë. Operacioni po gjurmohet si DuneQuixote. Autorët kanë bërë përpjekje të mëdha për të parandaluar zbulimin dhe ekzaminimin e implanteve të tyre me qëllim të keq, duke përdorur teknika të sofistikuara evazioni si në komunikimet e tyre në rrjet ashtu edhe në hartimin e vetë malware.

Faza fillestare e zinxhirit të sulmit DuneQuixote

Sulmi fillon me një dropper, i disponueshëm në dy variacione: një dropper standard, qoftë në formë të ekzekutueshme ose DLL, dhe një skedar instaluesi të manipuluar për mjetin legjitim, Total Commander. Pavarësisht nga varianti, objektivi kryesor i pikatores mbetet i qëndrueshëm: nxjerrja e një adrese të koduar Command-and-Control (C2), duke përdorur një teknikë inovative deshifrimi për të mbrojtur adresën e serverit nga mjetet e automatizuara të analizës së malware.

Kjo metodë përfshin marrjen e emrit të skedarit të pikatores dhe lidhjen e tij me një nga disa fragmente të paracaktuara nga poezitë spanjolle të ngulitura brenda kodit të pikatores. Më pas, malware llogarit hash-in MD5 të vargut të kombinuar, i cili shërben si çelësi i deshifrimit për adresën e serverit C2.

Pasi të deshifrohet, pikatori krijon lidhje me serverin C2, duke vazhduar të shkarkojë një ngarkesë të mëvonshme ndërsa siguron një ID të koduar të fortë si vargun e Agjentit të Përdoruesit në kërkesën HTTP.

Qasja në ngarkesë është e kufizuar nëse nuk është dhënë agjenti i duhur i përdoruesit. Për më tepër, duket se ngarkesa mund të rikuperohet vetëm një herë për objektiv ose për një kohë të kufizuar pas vendosjes së një kampioni malware në natyrë.

Në të kundërt, instaluesi i trojanizuar Total Commander shfaq disa ndryshime duke ruajtur funksionalitetin kryesor të pikatores origjinale. Ai eliminon vargjet e poezisë spanjolle dhe prezanton masa shtesë kundër analizës. Këto kontrolle parandalojnë një lidhje me serverin C2 nëse sistemi zbulon një korrigjues ose mjet monitorimi, nëse kursori mbetet i palëvizshëm përtej një kohëzgjatjeje të caktuar, nëse RAM-i i disponueshëm është më pak se 8 GB ose nëse kapaciteti i diskut bie nën 40 GB.

Malware CR4T i lejon sulmuesit të ekzekutojnë komanda në sistemet e infektuara

CR4T ('CR4T.pdb') është një implant vetëm me memorie i shkruar në C/C++. Ai u siguron sulmuesve akses në një tastierë të linjës komanduese për ekzekutimin e komandave në sistemin e komprometuar, kryerjen e operacioneve të skedarëve dhe transferimin e skedarëve në dhe nga serveri C2. Për më tepër, studiuesit kanë zbuluar një version Golang të CR4T me funksionalitete të ngjashme, duke përfshirë ekzekutimin e komandave arbitrare dhe krijimin e detyrave të planifikuara duke përdorur bibliotekën Go-ole.

Për më tepër, porta e pasme Golang CR4T zbaton qëndrueshmërinë përmes rrëmbimit të objekteve COM dhe përdor API-në e Telegramit për komunikimet C2. Shfaqja e variantit Golang tregon se aktorët e paidentifikuar të kërcënimit që qëndrojnë pas fushatës DuneQuixote po përmirësojnë në mënyrë aktive taktikat e tyre me malware ndër-platformë.

Nisma 'DuneQuixote' fokusohet në entitetet në Lindjen e Mesme, duke përdorur një gamë të larmishme mjetesh që synojnë vjedhjen dhe këmbënguljen. Sulmuesit shfaqin aftësi dhe teknika të avancuara evazioni duke vendosur implante dhe pikatore vetëm me memorie të maskuar si softuer legjitim, të tillë si imitimi i instaluesit Total Commander.