CR4T Kötü Amaçlı Yazılım

Orta Doğu'daki devlet kurumları, CR4T olarak bilinen daha önce bilinmeyen bir arka kapıyla sistemlerine sızmayı amaçlayan gizli bir saldırı operasyonunun hedefi haline geldi. Siber güvenlik uzmanları bu faaliyeti ilk olarak Şubat 2024'te fark etti, ancak kanıtlar bunun bir yıl kadar erken bir zamanda başlamış olabileceğini gösteriyor. Operasyon DuneQuixote adıyla takip ediliyor. Failler, hem ağ iletişimlerinde hem de kötü amaçlı yazılımın tasarımında karmaşık kaçırma teknikleri kullanarak, kötü amaçlı implantasyonlarının tespit edilmesini ve incelenmesini önlemek için büyük çaba harcadılar.

DuneQuixote Saldırı Zincirinin İlk Aşaması

Saldırı, iki çeşidi bulunan bir damlalık ile başlar: çalıştırılabilir veya DLL biçiminde standart bir damlalık ve meşru araç Total Commander için değiştirilmiş bir yükleyici dosyası. Değişken ne olursa olsun, damlalığın temel amacı tutarlı kalıyor: sunucu adresini otomatik kötü amaçlı yazılım analiz araçlarından korumak için yenilikçi bir şifre çözme tekniği kullanarak şifrelenmiş bir Komuta ve Kontrol (C2) adresi çıkarmak.

Bu yöntem, damlalığın dosya adını almayı ve onu, damlalığın koduna yerleştirilmiş İspanyol şiirlerinden önceden tanımlanmış birkaç alıntıdan biriyle birleştirmeyi içerir. Daha sonra kötü amaçlı yazılım, C2 sunucu adresi için şifre çözme anahtarı görevi gören birleştirilmiş dizenin MD5 karmasını hesaplar.

Damlalık, şifresi çözüldükten sonra C2 sunucusuyla bağlantılar kurar ve HTTP isteğinde Kullanıcı Aracısı dizisi olarak sabit kodlanmış bir kimlik sağlarken sonraki bir veriyi indirmeye devam eder.

Doğru kullanıcı aracısı sağlanmadığı sürece veri yüküne erişim sınırlıdır. Ayrıca, yükün hedef başına yalnızca bir kez veya bir kötü amaçlı yazılım örneğinin doğada konuşlandırılmasının ardından sınırlı bir süre boyunca alınabileceği görülüyor.

Buna karşılık, truva atı haline getirilmiş Total Commander yükleyicisi, orijinal damlalığın temel işlevlerini korurken çeşitli farklılıklar sergiliyor. İspanyol şiir dizilerini ortadan kaldırıyor ve ek analiz karşıtı önlemler getiriyor. Bu kontroller, sistemin bir hata ayıklayıcı veya izleme aracı tespit etmesi, imlecin belirli bir süre boyunca sabit kalması, kullanılabilir RAM'in 8 GB'tan az olması veya disk kapasitesinin 40 GB'nin altına düşmesi durumunda C2 sunucusuna bağlantıyı engeller.

CR4T Kötü Amaçlı Yazılımı, Saldırganların Etkilenen Sistemlerde Komut Çalıştırmasına İzin Verir

CR4T ('CR4T.pdb'), C/C++ ile yazılmış, yalnızca bellek içeren bir implanttır. Saldırganlara, ele geçirilen sistemde komutları yürütmek, dosya işlemlerini gerçekleştirmek ve C2 sunucusuna/sunucusundan dosya aktarmak için bir komut satırı konsoluna erişim sağlar. Ek olarak araştırmacılar, Go-ole kitaplığını kullanarak rastgele komutların yürütülmesi ve zamanlanmış görevlerin oluşturulması da dahil olmak üzere benzer işlevlere sahip CR4T'nin bir Golang sürümünü ortaya çıkardılar.

Üstelik Golang CR4T arka kapısı, COM nesnesinin ele geçirilmesi yoluyla kalıcılık sağlıyor ve C2 iletişimleri için Telegram API'sini kullanıyor. Golang varyantının ortaya çıkması, DuneQuixote kampanyasının arkasındaki kimliği belirsiz tehdit aktörlerinin, platformlar arası kötü amaçlı yazılımlarla taktiklerini aktif olarak geliştirdiklerini gösteriyor.

'DuneQuixote' girişimi, Orta Doğu'daki varlıklara odaklanıyor ve gizlilik ve kalıcılığı amaçlayan çeşitli araçlar kullanıyor. Saldırganlar, Total Commander yükleyicisini taklit etmek gibi meşru yazılım görünümüne bürünen yalnızca bellek implantları ve damlalıkları konuşlandırarak gelişmiş kaçırma yetenekleri ve teknikleri sergiliyor.