ЦР4Т Малваре

Владине институције широм Блиског истока постале су мете операције прикривеног напада са циљем да се инфилтрирају у њихове системе са раније непознатим бацкдоором познатим као ЦР4Т. Стручњаци за сајбер безбедност први пут су приметили ову активност у фебруару 2024, али докази сугеришу да је она могла да почне још годину дана раније. Операција се прати као ДунеКуикоте. Починиоци су се потрудили да спрече откривање и испитивање својих злонамерних имплантата, користећи софистициране технике избегавања како у својим мрежним комуникацијама, тако иу дизајну самог малвера.

Почетна фаза ланца напада ДунеКуикоте

Напад почиње са дроппером, доступним у две варијације: стандардним дроппером, било у извршном или ДЛЛ облику, и манипулисаним инсталационим фајлом за легитимни алат, Тотал Цоммандер. Без обзира на варијанту, примарни циљ дроппер-а остаје доследан: издвајање шифроване адресе за команду и контролу (Ц2), користећи иновативну технику дешифровања за заштиту адресе сервера од аутоматизованих алата за анализу малвера.

Овај метод укључује добијање назива датотеке дроппера и спајање са једним од неколико унапред дефинисаних одломака из шпанских песама уграђених у код дроппера. Након тога, злонамерни софтвер израчунава МД5 хеш комбинованог стринга, који служи као кључ за дешифровање адресе Ц2 сервера.

Једном дешифрован, дроппер успоставља везе са Ц2 сервером, настављајући са преузимањем следећег корисног учитавања, док испоручује чврсто кодирани ИД као стринг Усер-Агент у ХТТП захтеву.

Приступ корисном учитавању је ограничен осим ако није обезбеђен одговарајући кориснички агент. Штавише, чини се да се корисни терет може преузети само једном по мети или ограничено време након постављања узорка малвера у дивљини.

Насупрот томе, тројанизовани програм за инсталацију Тотал Цоммандер-а показује неколико варијанти док задржава основну функционалност оригиналног дроппера. Он елиминише шпанске низове песама и уводи додатне мере против анализе. Ове провере спречавају везу са Ц2 сервером ако систем открије програм за отклањање грешака или алатку за надгледање, ако курсор остане непомичан дуже од наведеног трајања, ако је доступна РАМ меморија мања од 8 ГБ, или ако капацитет диска падне испод 40 ГБ.

ЦР4Т малвер омогућава нападачима да извршавају команде на зараженим системима

ЦР4Т ('ЦР4Т.пдб') је имплантат само за меморију написан у Ц/Ц++. Омогућава нападачима приступ конзоли командне линије за извршавање команди на компромитованом систему, извршавање операција са датотекама и пренос датотека на и са Ц2 сервера. Поред тога, истраживачи су открили Голанг верзију ЦР4Т са сличним функционалностима, укључујући извршавање произвољних команди и креирање заказаних задатака користећи Го-оле библиотеку.

Штавише, Голанг ЦР4Т бацкдоор имплементира упорност кроз отмицу ЦОМ објеката и користи Телеграм АПИ за Ц2 комуникацију. Појава Голанг варијанте указује на то да неидентификовани актери претњи који стоје иза ДунеКуикоте кампање активно усавршавају своју тактику помоћу малвера на различитим платформама.

Иницијатива 'ДунеКуикоте' се фокусира на ентитете на Блиском истоку, користећи разноврстан низ алата који имају за циљ прикривеност и упорност. Нападачи показују напредне могућности и технике избегавања тако што постављају само меморијске импланте и капалице прерушене у легитиман софтвер, као што је опонашање инсталатера Тотал Цоммандер-а.