CR4T Malware

Ang mga institusyon ng gobyerno sa buong Gitnang Silangan ay naging mga target ng isang patagong operasyon ng pag-atake na naglalayong makalusot sa kanilang mga sistema gamit ang isang dating hindi kilalang backdoor na kilala bilang CR4T. Unang napansin ng mga eksperto sa cybersecurity ang aktibidad na ito noong Pebrero 2024, ngunit iminumungkahi ng ebidensiya na maaaring nagsimula ito kasing aga ng isang taon bago. Ang operasyon ay sinusubaybayan bilang DuneQuixote. Napakahirap ng ginawa ng mga salarin upang maiwasan ang pagtuklas at pagsusuri sa kanilang mga malisyosong implant, na gumagamit ng mga sopistikadong pamamaraan ng pag-iwas sa kanilang mga komunikasyon sa network at sa disenyo ng malware mismo.

Ang Paunang Yugto ng DuneQuixote Attack Chain

Ang pag-atake ay nagsisimula sa isang dropper, na available sa dalawang variation: isang karaniwang dropper, alinman sa executable o DLL form, at isang manipuladong installer file para sa lehitimong tool, Total Commander. Anuman ang variant, ang pangunahing layunin ng dropper ay nananatiling pare-pareho: upang kunin ang isang naka-encrypt na Command-and-Control (C2) na address, gamit ang isang makabagong diskarte sa pag-decryption upang pangalagaan ang address ng server mula sa mga automated na tool sa pagsusuri ng malware.

Ang pamamaraang ito ay nagsasangkot ng pagkuha ng filename ng dropper at pagsasama-sama nito sa isa sa ilang paunang natukoy na mga sipi mula sa mga tulang Espanyol na naka-embed sa loob ng code ng dropper. Kasunod nito, kino-compute ng malware ang MD5 hash ng pinagsamang string, na nagsisilbing decryption key para sa C2 server address.

Kapag na-decrypt, ang dropper ay nagtatatag ng mga koneksyon sa C2 server, na nagpapatuloy sa pag-download ng kasunod na payload habang nagbibigay ng isang hard-coded ID bilang string ng User-Agent sa kahilingan ng HTTP.

Ang pag-access sa payload ay pinaghihigpitan maliban kung ang tamang ahente ng gumagamit ay ibinigay. Bukod dito, lumilitaw na ang payload ay maaari lamang makuha nang isang beses bawat target o para sa isang limitadong oras kasunod ng pag-deploy ng isang sample ng malware sa ligaw.

Sa kaibahan, ang trojanized na Total Commander installer ay nagpapakita ng ilang mga pagkakaiba habang pinapanatili ang pangunahing functionality ng orihinal na dropper. Tinatanggal nito ang mga string ng tulang Espanyol at nagpapakilala ng karagdagang mga hakbang laban sa pagsusuri. Ang mga pagsusuring ito ay pumipigil sa isang koneksyon sa C2 server kung ang system ay nakakita ng isang debugger o tool sa pagsubaybay, kung ang cursor ay nananatiling nakatigil nang higit sa isang tinukoy na tagal, kung ang magagamit na RAM ay mas mababa sa 8 GB, o kung ang kapasidad ng disk ay mas mababa sa 40 GB.

Ang CR4T Malware ay nagpapahintulot sa mga umaatake na magsagawa ng mga utos sa mga nahawaang sistema

Ang CR4T ('CR4T.pdb') ay isang memory-only implant na nakasulat sa C/C++. Nagbibigay ito sa mga umaatake ng access sa isang command-line console para sa pagpapatupad ng mga command sa nakompromisong system, pagsasagawa ng mga operasyon ng file, at paglilipat ng mga file papunta at mula sa C2 server. Bukod pa rito, natuklasan ng mga mananaliksik ang isang bersyon ng Golang ng CR4T na may mga katulad na pagpapagana, kabilang ang pagpapatupad ng mga di-makatwirang utos at ang paglikha ng mga naka-iskedyul na gawain gamit ang library ng Go-ole.

Bukod dito, ang Golang CR4T backdoor ay nagpapatupad ng pagtitiyaga sa pamamagitan ng COM object hijacking at ginagamit ang Telegram API para sa mga komunikasyong C2. Ang paglitaw ng variant ng Golang ay nagpapahiwatig na ang hindi natukoy na mga aktor ng pagbabanta sa likod ng kampanyang DuneQuixote ay aktibong pinipino ang kanilang mga taktika gamit ang cross-platform na malware.

Ang 'DuneQuixote' na inisyatiba ay nakatutok sa mga entity sa Middle East, na gumagamit ng magkakaibang hanay ng mga tool na naglalayong stealth at pagtitiyaga. Ang mga umaatake ay nagpapakita ng mga advanced na kakayahan at diskarte sa pag-iwas sa pamamagitan ng pag-deploy ng memory-only na mga implant at dropper na itinago bilang lehitimong software, gaya ng paggaya sa Total Commander installer.