CR4T மால்வேர்

மத்திய கிழக்கு முழுவதிலும் உள்ள அரசு நிறுவனங்கள், CR4T எனப்படும் முன்பு அறியப்படாத பின்கதவு மூலம் தங்கள் அமைப்புகளுக்குள் ஊடுருவுவதை நோக்கமாகக் கொண்ட ஒரு திருட்டுத்தனமான தாக்குதல் நடவடிக்கையின் இலக்குகளாக மாறியுள்ளன. சைபர் செக்யூரிட்டி வல்லுநர்கள் இந்தச் செயல்பாட்டை பிப்ரவரி 2024 இல் முதன்முதலில் கவனித்தனர், ஆனால் இது ஒரு வருடத்திற்கு முன்பே தொடங்கியிருக்கலாம் என்று சான்றுகள் தெரிவிக்கின்றன. செயல்பாடு DuneQuixote ஆக கண்காணிக்கப்படுகிறது. குற்றவாளிகள் தங்கள் தீங்கிழைக்கும் உள்வைப்புகளைக் கண்டறிவதையும் ஆய்வு செய்வதையும் தடுக்க அதிக முயற்சி செய்துள்ளனர், அவர்களின் நெட்வொர்க் தகவல்தொடர்புகள் மற்றும் தீம்பொருளின் வடிவமைப்பு ஆகிய இரண்டிலும் அதிநவீன ஏய்ப்பு நுட்பங்களைப் பயன்படுத்துகின்றனர்.

DuneQuixote தாக்குதல் சங்கிலியின் ஆரம்ப நிலை

தாக்குதல் ஒரு துளிசொட்டியுடன் தொடங்குகிறது, இது இரண்டு மாறுபாடுகளில் கிடைக்கிறது: ஒரு நிலையான துளிசொட்டி, இயங்கக்கூடிய அல்லது DLL வடிவத்தில், மற்றும் முறையான கருவியான டோட்டல் கமாண்டர்க்கான கையாளப்பட்ட நிறுவி கோப்பு. மாறுபாட்டைப் பொருட்படுத்தாமல், டிராப்பரின் முதன்மை நோக்கம் நிலையானதாகவே உள்ளது: மறைகுறியாக்கப்பட்ட கட்டளை மற்றும் கட்டுப்பாடு (C2) முகவரியைப் பிரித்தெடுப்பது, தானியங்கு மால்வேர் பகுப்பாய்வு கருவிகளிலிருந்து சேவையக முகவரியைப் பாதுகாக்க ஒரு புதுமையான மறைகுறியாக்க நுட்பத்தைப் பயன்படுத்துகிறது.

இந்த முறையானது துளிசொட்டியின் கோப்புப் பெயரைப் பெறுவது மற்றும் துளிசொட்டியின் குறியீட்டிற்குள் உட்பொதிக்கப்பட்ட ஸ்பானிய கவிதைகளில் இருந்து பல முன் வரையறுக்கப்பட்ட பகுதிகளுடன் அதை இணைப்பதை உள்ளடக்குகிறது. பின்னர், மால்வேர் ஒருங்கிணைந்த சரத்தின் MD5 ஹாஷைக் கணக்கிடுகிறது, இது C2 சேவையக முகவரிக்கான மறைகுறியாக்க விசையாக செயல்படுகிறது.

மறைகுறியாக்கப்பட்டவுடன், டிராப்பர் C2 சேவையகத்துடன் இணைப்புகளை நிறுவுகிறது, HTTP கோரிக்கையில் பயனர் முகவர் சரமாக கடின-குறியிடப்பட்ட ஐடியை வழங்கும்போது, அடுத்தடுத்த பேலோடைப் பதிவிறக்குகிறது.

சரியான பயனர் முகவர் வழங்கப்படாவிட்டால், பேலோடுக்கான அணுகல் தடைசெய்யப்படும். மேலும், ஒரு இலக்குக்கு ஒருமுறை மட்டுமே பேலோடை மீட்டெடுக்க முடியும் அல்லது தீம்பொருள் மாதிரி காட்டில் பயன்படுத்தப்பட்டதைத் தொடர்ந்து குறிப்பிட்ட காலத்திற்கு மட்டுமே திரும்பப் பெற முடியும் என்று தோன்றுகிறது.

இதற்கு நேர்மாறாக, ட்ரோஜனேற்றப்பட்ட டோட்டல் கமாண்டர் நிறுவி அசல் துளிசொட்டியின் முக்கிய செயல்பாட்டைப் பராமரிக்கும் போது பல மாறுபாடுகளை வெளிப்படுத்துகிறது. இது ஸ்பானிஷ் கவிதை வரிகளை நீக்குகிறது மற்றும் கூடுதல் பகுப்பாய்வு எதிர்ப்பு நடவடிக்கைகளை அறிமுகப்படுத்துகிறது. கணினி பிழைத்திருத்தம் அல்லது கண்காணிப்பு கருவியைக் கண்டறிந்தால், குறிப்பிட்ட காலத்திற்கு அப்பால் கர்சர் நிலையாக இருந்தால், கிடைக்கக்கூடிய ரேம் 8 ஜிபிக்குக் குறைவாக இருந்தால் அல்லது வட்டு திறன் 40 ஜிபிக்குக் குறைவாக இருந்தால், இந்தச் சரிபார்ப்புகள் C2 சேவையகத்திற்கான இணைப்பைத் தடுக்கும்.

CR4T மால்வேர் தாக்குபவர்களை பாதிக்கப்பட்ட கணினிகளில் கட்டளைகளை இயக்க அனுமதிக்கிறது

CR4T ('CR4T.pdb') என்பது C/C++ இல் எழுதப்பட்ட நினைவக-மட்டும் உள்வைப்பு ஆகும். சமரசம் செய்யப்பட்ட கணினியில் கட்டளைகளை இயக்குவதற்கும், கோப்பு செயல்பாடுகளைச் செய்வதற்கும், மற்றும் C2 சேவையகத்திலிருந்து கோப்புகளை மாற்றுவதற்கும், தாக்குபவர்களுக்கு கட்டளை வரி கன்சோலுக்கான அணுகலை வழங்குகிறது. கூடுதலாக, ஆராய்ச்சியாளர்கள் CR4T இன் கோலாங் பதிப்பை ஒரே மாதிரியான செயல்பாடுகளுடன் கண்டுபிடித்துள்ளனர், இதில் தன்னிச்சையான கட்டளைகளை செயல்படுத்துதல் மற்றும் Go-ole நூலகத்தைப் பயன்படுத்தி திட்டமிடப்பட்ட பணிகளை உருவாக்குதல் ஆகியவை அடங்கும்.

மேலும், கோலாங் CR4T பின்கதவு COM பொருள் கடத்தல் மூலம் நிலைத்தன்மையை செயல்படுத்துகிறது மற்றும் C2 தகவல்தொடர்புகளுக்கு டெலிகிராம் API ஐப் பயன்படுத்துகிறது. DuneQuixote பிரச்சாரத்தின் பின்னணியில் உள்ள அடையாளம் தெரியாத அச்சுறுத்தல் நடிகர்கள் குறுக்கு-தளம் தீம்பொருளைக் கொண்டு தங்கள் தந்திரங்களைத் தீவிரமாகச் செம்மைப்படுத்துவதை Golang மாறுபாட்டின் தோற்றம் குறிக்கிறது.

'DuneQuixote' முன்முயற்சியானது மத்திய கிழக்கில் உள்ள நிறுவனங்களில் கவனம் செலுத்துகிறது, திருட்டுத்தனம் மற்றும் நிலைத்தன்மையை இலக்காகக் கொண்ட பல்வேறு வகையான கருவிகளைப் பயன்படுத்துகிறது. டோட்டல் கமாண்டர் நிறுவியைப் பிரதிபலிப்பது போன்ற முறையான மென்பொருளாக மாறுவேடமிட்ட நினைவக-மட்டும் உள்வைப்புகள் மற்றும் டிராப்பர்களை பயன்படுத்துவதன் மூலம் தாக்குபவர்கள் மேம்பட்ட ஏய்ப்பு திறன்கள் மற்றும் நுட்பங்களை வெளிப்படுத்துகிறார்கள்.