มัลแวร์ CR4T

สถาบันของรัฐบาลทั่วตะวันออกกลางกลายเป็นเป้าหมายของปฏิบัติการโจมตีแบบซ่อนตัวที่มีเป้าหมายเพื่อแทรกซึมระบบของพวกเขาด้วยแบ็คดอร์ที่ไม่รู้จักก่อนหน้านี้ที่เรียกว่า CR4T ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์สังเกตเห็นกิจกรรมนี้ครั้งแรกในเดือนกุมภาพันธ์ 2024 แต่มีหลักฐานบ่งชี้ว่ากิจกรรมดังกล่าวอาจเริ่มได้เร็วที่สุดในหนึ่งปีก่อน การดำเนินการกำลังถูกติดตามในชื่อ DuneQuixote ผู้กระทำผิดพยายามอย่างเต็มที่เพื่อป้องกันการตรวจจับและตรวจสอบการปลูกถ่ายที่เป็นอันตราย โดยใช้เทคนิคการหลีกเลี่ยงที่ซับซ้อนทั้งในการสื่อสารเครือข่ายและการออกแบบมัลแวร์เอง

ระยะเริ่มต้นของ DuneQuixote Attack Chain

การโจมตีเริ่มต้นด้วย dropper ซึ่งมีให้เลือกสองรูปแบบ: dropper มาตรฐาน ทั้งในรูปแบบปฏิบัติการหรือ DLL และไฟล์ตัวติดตั้งที่ได้รับการจัดการสำหรับเครื่องมือที่ถูกต้องตามกฎหมาย Total Commander วัตถุประสงค์หลักของหยดยังคงเหมือนเดิมโดยไม่คำนึงถึงตัวแปร: เพื่อแยกที่อยู่ Command-and-Control (C2) ที่เข้ารหัส โดยใช้เทคนิคการถอดรหัสที่เป็นนวัตกรรมใหม่เพื่อปกป้องที่อยู่เซิร์ฟเวอร์จากเครื่องมือวิเคราะห์มัลแวร์อัตโนมัติ

วิธีการนี้เกี่ยวข้องกับการรับชื่อไฟล์ของ dropper และต่อเข้ากับหนึ่งในข้อความที่ตัดตอนมาจากบทกวีภาษาสเปนที่กำหนดไว้ล่วงหน้าที่ฝังอยู่ในโค้ดของ dropper ต่อมามัลแวร์จะคำนวณแฮช MD5 ของสตริงรวม ซึ่งทำหน้าที่เป็นคีย์ถอดรหัสสำหรับที่อยู่เซิร์ฟเวอร์ C2

เมื่อถอดรหัสแล้ว ตัวหยดจะสร้างการเชื่อมต่อกับเซิร์ฟเวอร์ C2 และดำเนินการดาวน์โหลดเพย์โหลดที่ตามมาในขณะที่จัดเตรียม ID ที่ฮาร์ดโค้ดเป็นสตริง User-Agent ในคำขอ HTTP

การเข้าถึงเพย์โหลดนั้นถูกจำกัด เว้นแต่จะมีการจัดหาตัวแทนผู้ใช้ที่ถูกต้อง นอกจากนี้ ดูเหมือนว่าเพย์โหลดสามารถเรียกคืนได้เพียงหนึ่งครั้งต่อเป้าหมายหรือในระยะเวลาที่จำกัดหลังจากการปรับใช้ตัวอย่างมัลแวร์ในป่า

ในทางตรงกันข้าม โปรแกรมติดตั้ง Total Commander ที่ถูกโทรจันจะแสดงความแตกต่างหลายประการ ในขณะที่ยังคงรักษาฟังก์ชันการทำงานหลักของหยดดั้งเดิมไว้ กำจัดสตริงบทกวีภาษาสเปนและแนะนำมาตรการต่อต้านการวิเคราะห์เพิ่มเติม การตรวจสอบเหล่านี้จะป้องกันการเชื่อมต่อกับเซิร์ฟเวอร์ C2 หากระบบตรวจพบดีบักเกอร์หรือเครื่องมือตรวจสอบ หากเคอร์เซอร์ยังคงนิ่งอยู่เกินระยะเวลาที่กำหนด หาก RAM ที่มีอยู่น้อยกว่า 8 GB หรือหากความจุของดิสก์ลดลงต่ำกว่า 40 GB

มัลแวร์ CR4T ช่วยให้ผู้โจมตีสามารถดำเนินการคำสั่งบนระบบที่ติดไวรัสได้

CR4T ('CR4T.pdb') คือการปลูกถ่ายเฉพาะหน่วยความจำที่เขียนด้วยภาษา C/C++ ช่วยให้ผู้โจมตีสามารถเข้าถึงคอนโซลบรรทัดคำสั่งเพื่อดำเนินการคำสั่งบนระบบที่ถูกบุกรุก ดำเนินการกับไฟล์ และถ่ายโอนไฟล์ไปยังและจากเซิร์ฟเวอร์ C2 นอกจากนี้ นักวิจัยยังได้ค้นพบ CR4T เวอร์ชัน Golang ที่มีฟังก์ชันการทำงานคล้ายกัน รวมถึงการดำเนินการตามคำสั่งที่กำหนดเองและการสร้างงานที่กำหนดเวลาไว้โดยใช้ไลบรารี Go-ole

ยิ่งไปกว่านั้น แบ็คดอร์ Golang CR4T ยังใช้การคงอยู่ผ่านการไฮแจ็คอ็อบเจ็กต์ COM และใช้ Telegram API สำหรับการสื่อสาร C2 การเกิดขึ้นของตัวแปร Golang บ่งชี้ว่าผู้คุกคามที่ไม่ปรากฏชื่อซึ่งอยู่เบื้องหลังแคมเปญ DuneQuixote กำลังปรับปรุงกลยุทธ์ของตนอย่างแข็งขันด้วยมัลแวร์ข้ามแพลตฟอร์ม

โครงการริเริ่ม 'DuneQuixote' มุ่งเน้นไปที่องค์กรในตะวันออกกลาง โดยใช้เครื่องมือที่หลากหลายซึ่งมีจุดมุ่งหมายเพื่อการลักลอบและการคงอยู่ ผู้โจมตีแสดงความสามารถและเทคนิคการหลบหลีกขั้นสูงโดยการติดตั้งอุปกรณ์ฝังและหยดสำหรับหน่วยความจำเท่านั้นซึ่งปลอมตัวเป็นซอฟต์แวร์ที่ถูกต้องตามกฎหมาย เช่น การเลียนแบบโปรแกรมติดตั้ง Total Commander