CR4T మాల్వేర్

మధ్యప్రాచ్యం అంతటా ప్రభుత్వ సంస్థలు CR4T అని పిలవబడే మునుపు తెలియని బ్యాక్‌డోర్‌తో వారి సిస్టమ్‌లలోకి చొరబడే లక్ష్యంతో ఒక రహస్య దాడి ఆపరేషన్‌కు లక్ష్యంగా మారాయి. సైబర్‌ సెక్యూరిటీ నిపుణులు ఈ కార్యాచరణను ఫిబ్రవరి 2024లో మొదటిసారిగా గమనించారు, అయితే ఇది ఒక సంవత్సరం ముందే ప్రారంభమై ఉండవచ్చని ఆధారాలు సూచిస్తున్నాయి. ఆపరేషన్ DuneQuixoteగా ట్రాక్ చేయబడుతోంది. నేరస్థులు తమ హానికరమైన ఇంప్లాంట్‌లను గుర్తించడం మరియు పరీక్షించడాన్ని నిరోధించడానికి చాలా కష్టపడ్డారు, వారి నెట్‌వర్క్ కమ్యూనికేషన్‌లు మరియు మాల్వేర్ రూపకల్పన రెండింటిలోనూ అధునాతన ఎగవేత పద్ధతులను ఉపయోగిస్తున్నారు.

డ్యూన్ క్విక్సోట్ అటాక్ చైన్ యొక్క ప్రారంభ దశ

దాడి డ్రాపర్‌తో ప్రారంభమవుతుంది, ఇది రెండు వైవిధ్యాలలో లభిస్తుంది: ప్రామాణిక డ్రాపర్, ఎక్జిక్యూటబుల్ లేదా DLL రూపంలో మరియు చట్టబద్ధమైన సాధనం, టోటల్ కమాండర్ కోసం మానిప్యులేటెడ్ ఇన్‌స్టాలర్ ఫైల్. వేరియంట్‌తో సంబంధం లేకుండా, డ్రాపర్ యొక్క ప్రాథమిక లక్ష్యం స్థిరంగా ఉంటుంది: ఎన్‌క్రిప్టెడ్ కమాండ్-అండ్-కంట్రోల్ (C2) చిరునామాను సంగ్రహించడం, స్వయంచాలక మాల్వేర్ విశ్లేషణ సాధనాల నుండి సర్వర్ చిరునామాను రక్షించడానికి ఒక వినూత్న డీక్రిప్షన్ టెక్నిక్‌ని ఉపయోగించడం.

ఈ పద్ధతిలో డ్రాపర్ యొక్క ఫైల్ పేరును పొందడం మరియు డ్రాపర్ కోడ్‌లో పొందుపరిచిన స్పానిష్ పద్యాల నుండి ముందుగా నిర్వచించబడిన అనేక సారాంశాలలో ఒకదానితో దానిని కలపడం ఉంటుంది. తదనంతరం, మాల్వేర్ కంబైన్డ్ స్ట్రింగ్ యొక్క MD5 హాష్‌ను గణిస్తుంది, ఇది C2 సర్వర్ చిరునామాకు డిక్రిప్షన్ కీగా పనిచేస్తుంది.

డీక్రిప్ట్ చేసిన తర్వాత, డ్రాపర్ C2 సర్వర్‌తో కనెక్షన్‌లను ఏర్పరుస్తుంది, HTTP అభ్యర్థనలో వినియోగదారు-ఏజెంట్ స్ట్రింగ్‌గా హార్డ్-కోడెడ్ IDని అందించేటప్పుడు తదుపరి పేలోడ్‌ను డౌన్‌లోడ్ చేయడానికి కొనసాగుతుంది.

సరైన వినియోగదారు ఏజెంట్‌ను అందించకపోతే పేలోడ్‌కు యాక్సెస్ పరిమితం చేయబడింది. అంతేకాకుండా, పేలోడ్ ప్రతి లక్ష్యానికి ఒకసారి మాత్రమే తిరిగి పొందవచ్చు లేదా అడవిలో మాల్వేర్ నమూనాను అమలు చేసిన తర్వాత పరిమిత సమయం వరకు మాత్రమే తిరిగి పొందవచ్చు.

దీనికి విరుద్ధంగా, ట్రోజనైజ్డ్ టోటల్ కమాండర్ ఇన్‌స్టాలర్ అసలైన డ్రాపర్ యొక్క ప్రధాన కార్యాచరణను కొనసాగిస్తూ అనేక వ్యత్యాసాలను ప్రదర్శిస్తుంది. ఇది స్పానిష్ పద్య తీగలను తొలగిస్తుంది మరియు అదనపు వ్యతిరేక విశ్లేషణ చర్యలను పరిచయం చేస్తుంది. సిస్టమ్ డీబగ్గర్ లేదా మానిటరింగ్ టూల్‌ను గుర్తించినట్లయితే, నిర్దిష్ట వ్యవధికి మించి కర్సర్ నిశ్చలంగా ఉంటే, అందుబాటులో ఉన్న RAM 8 GB కంటే తక్కువగా ఉంటే లేదా డిస్క్ సామర్థ్యం 40 GB కంటే తక్కువగా ఉంటే, ఈ తనిఖీలు C2 సర్వర్‌కు కనెక్షన్‌ను నిరోధిస్తాయి.

CR4T మాల్వేర్ దాడి చేసేవారిని సోకిన సిస్టమ్‌లపై ఆదేశాలను అమలు చేయడానికి అనుమతిస్తుంది

CR4T ('CR4T.pdb') అనేది C/C++లో వ్రాయబడిన మెమరీ-మాత్రమే ఇంప్లాంట్. ఇది రాజీపడిన సిస్టమ్‌పై ఆదేశాలను అమలు చేయడం, ఫైల్ ఆపరేషన్‌లు చేయడం మరియు C2 సర్వర్‌కు మరియు దాని నుండి ఫైల్‌లను బదిలీ చేయడం కోసం కమాండ్-లైన్ కన్సోల్‌కు యాక్సెస్‌తో దాడి చేసేవారికి అందిస్తుంది. అదనంగా, పరిశోధకులు గో-ఓలే లైబ్రరీని ఉపయోగించి ఏకపక్ష ఆదేశాలను అమలు చేయడం మరియు షెడ్యూల్ చేసిన పనులను సృష్టించడం వంటి సారూప్య కార్యాచరణలతో CR4T యొక్క గోలాంగ్ వెర్షన్‌ను కనుగొన్నారు.

అంతేకాకుండా, గోలాంగ్ CR4T బ్యాక్‌డోర్ COM ఆబ్జెక్ట్ హైజాకింగ్ ద్వారా నిలకడను అమలు చేస్తుంది మరియు C2 కమ్యూనికేషన్‌ల కోసం టెలిగ్రామ్ APIని ఉపయోగిస్తుంది. గోలాంగ్ వేరియంట్ యొక్క ఆవిర్భావం DuneQuixote ప్రచారం వెనుక ఉన్న గుర్తించబడని ముప్పు నటులు క్రాస్-ప్లాట్‌ఫారమ్ మాల్వేర్‌తో వారి వ్యూహాలను చురుకుగా మెరుగుపరుచుకుంటున్నారని సూచిస్తుంది.

'DuneQuixote' చొరవ మధ్యప్రాచ్యంలోని సంస్థలపై దృష్టి సారిస్తుంది, స్టెల్త్ మరియు నిలకడను లక్ష్యంగా చేసుకుని విభిన్న శ్రేణి సాధనాలను ఉపయోగిస్తుంది. టోటల్ కమాండర్ ఇన్‌స్టాలర్‌ను అనుకరించడం వంటి చట్టబద్ధమైన సాఫ్ట్‌వేర్‌గా మారువేషంలో ఉన్న మెమరీ-మాత్రమే ఇంప్లాంట్లు మరియు డ్రాపర్‌లను అమలు చేయడం ద్వారా దాడి చేసేవారు అధునాతన ఎగవేత సామర్థ్యాలు మరియు సాంకేతికతలను ప్రదర్శిస్తారు.